V macOS High Sierra so odkrili še eno resno varnostno napako.
Napaka, ki je še vedno prisotna v Appleovi zadnji javni objavi, omogoča vsakomur, da spremeni nastavitve App Store v System Preferences, tako da vnese karkoli kot geslo.
Težko je prezreti upad kakovosti programske opreme Apple. Zdi se, da se z vsako posodobitvijo - za iOS ali macOS - uvajajo nove napake. Nekatere so resne varnostne napake, na primer tista, ki je vsakomur omogočila skrbniški dostop do vašega Mac z vnosom "root" kot geslo.
Odkrita je še ena varnostna napaka
V to kategorijo sodi tudi najnovejša. Poudarjeno v a poročilo o napaki na Open Radarju napaka omogoča vsakomur, da spremeni nastavitve App Store v sistemskih nastavitvah. Če v geslo vnesete kar koli, kar običajno zahteva vaše geslo za prijavo, polje omogoči dostop do menija.
Ko je uporabnik v tem meniju, lahko počne trivialne stvari, na primer omogoči ali onemogoči samodejne posodobitve - vključno z macOS posodobitve - in resnejše stvari, na primer spreminjanje časa, preden je potrebno geslo med App Store nakupi.
Uporabnik mora biti prijavljen v skrbniški račun, zato to ne bo delovalo v računih gostov. Omeniti velja tudi, da drugih menijev sistemskih nastavitev ni mogoče odkleniti z istim trikom.
Apple ima morda popravke pripravljene
Po navedbah MacRumors, ki je prvi opazil poročilo o napaki, je pomanjkljivost prisotna v Applovi najnovejši izdaji 10.13.2 - ne pa tudi v različicah macOS Sierra. Težave ni mogoče reproducirati v najnovejših beta različicah 10.13.3, zato se zdi, da ima Apple morda že pripravljeno rešitev.
Če se Apple že zaveda težave, je zagotovo upal, da jo bo odpravil, preden bo kdo opazil težavo.
Na tej točki boste morda pomislili: »Nastavitve App Store so privzeto odklenjene v skrbniških računih.« Ampak kot MacRumors dodaja, "da je mogoče zaobiti poziv za geslo za Mac s katerim koli geslom očitno nesprejemljivo."
Kakšen smisel ima sploh poziv?
Že dolgo sem že pisal o tem, kako Apple storiti nekaj, da odpravimo pogoste hrošče kot je ta in opozoril, da bi podjetje sčasoma lahko škodilo ugledu. Ker se v novih izdajah odkriva vse večje število hroščev, se potencial za to povečuje.
Nadgradnja: Vir, ki pozna zadevo, vztraja, da ta napaka ne ustvarja nobene izpostavljenosti za uporabnike High Sierre. Meni nastavitev App Store je privzeto odklenjen v skrbniških računih.
Če pa skrbnik ključavnice meni z nastavitvami App Store, ga lahko nekdo drug, ki uporablja svoj račun, znova odklene brez vnosa pravilnega gesla. Tudi to ne deluje, če ste prijavljeni kot običajni ali gostujoči uporabnik brez skrbniških pravic.
To vedenje ne dovoljuje dostopa do občutljivih uporabniških podatkov v računalniku Mac. Uporabniških in drugih sistemskih nastavitev ni mogoče spremeniti brez skrbniškega gesla uporabnika. Povedali so nam, da bo naslednja Appleova posodobitev High Sierra, različica 10.13.3, odpravila težavo.
Apple je od takrat izdal uradno izjavo o hrošču, ki se glasi:
To napako zelo obžalujemo in se opravičujemo vsem uporabnikom Mac -a, tako zaradi sprostitve te ranljivosti kot zaradi skrbi, ki jo je povzročila. Naše stranke si zaslužijo boljše. Reviziramo naše razvojne procese, da preprečimo, da bi se to ponovilo.
