Еще один серьезный недостаток безопасности был обнаружен в macOS High Sierra.
Ошибка, которая присутствует в последней общедоступной версии Apple, позволяет любому изменить настройки App Store в Системных настройках, введя что угодно в качестве пароля.
Трудно игнорировать снижение качества программного обеспечения Apple. Кажется, что с каждым обновлением - для iOS или macOS - появляются новые ошибки. Некоторые из них представляют собой серьезные недостатки безопасности, например, тот, который позволил любому получить доступ администратора к вашему Mac, введя «root» в качестве пароля.
Обнаружен еще один недостаток безопасности
Последний также попадает в эту категорию. Выделено в сообщение об ошибке в Open Radar уязвимость позволяет любому изменять настройки App Store в Системных настройках. Ввод чего-либо в поле пароля, который обычно требует пароля для входа, предоставляет доступ к меню.
Попав в это меню, пользователь может делать тривиальные вещи, например включать или отключать автоматические обновления, включая macOS. обновления - и более серьезные вещи, такие как изменение времени, по истечении которого требуется пароль, между App Store покупки.
Однако пользователь должен войти в учетную запись администратора, поэтому это не будет работать в гостевых учетных записях. Также стоит отметить, что другие меню системных настроек не могут быть разблокированы с помощью той же уловки.
У Apple может быть исправление наготове
В соответствии с MacRumors, который первым заметил отчет об ошибке, ошибка присутствует в последней версии 10.13.2 от Apple, но не в версиях macOS Sierra. Проблема не может быть воспроизведена в последних бета-версиях 10.13.3, поэтому кажется, что у Apple уже есть исправление наготове.
Если Apple уже знает о проблеме, она наверняка надеялась, что сможет исправить ее, прежде чем кто-либо заметит проблему.
На этом этапе вы можете подумать: «Настройки App Store по умолчанию разблокированы в учетных записях администратора». Но, как MacRumors добавляет: «Очевидно, что возможность обойти запрос пароля Mac с любым паролем явно неприемлема».
Какой вообще смысл в подсказке?
Я уже подробно писал о том, как Apple нужно что-то делать для устранения частых ошибок как этот, и предупредил, что компания в конечном итоге может навредить своей репутации. По мере того как в новых выпусках обнаруживается все большее количество ошибок, вероятность этого возрастает.
Обновлять: Источник, знакомый с этим вопросом, настаивает, что эта ошибка не представляет опасности для пользователей High Sierra. Меню настроек App Store по умолчанию разблокировано для учетных записей администратора.
Однако если администратор замки меню настроек App Store, кто-то другой, использующий свою учетную запись, может снова разблокировать ее без ввода правильного пароля. Опять же, это не сработает, если вы вошли в систему как обычный или гость без прав администратора.
Такое поведение не позволяет получить доступ к какой-либо конфиденциальной информации пользователя на Mac. Пользовательские и другие системные настройки не могут быть изменены без пароля администратора пользователя. Нам сказали, что следующее обновление Apple High Sierra, версия 10.13.3, устранит проблему.
С тех пор Apple опубликовала официальное заявление об ошибке, которое гласит:
Мы очень сожалеем об этой ошибке и приносим свои извинения всем пользователям Mac, как за выпуск с этой уязвимостью, так и за беспокойство, которое она вызвала. Наши клиенты заслуживают лучшего. Мы проверяем наши процессы разработки, чтобы предотвратить повторение этого.