Ännu en allvarlig säkerhetsbrist har upptäckts i macOS High Sierra.
Buggen, som fortfarande finns i Apples senaste offentliga version, gör att alla kan ändra App Store -inställningarna i Systeminställningar genom att ange något som ditt lösenord.
Det är svårt att ignorera nedgången i Apples mjukvarukvalitet. Det verkar som om varje uppdatering - för iOS eller macOS - introduceras nya buggar. Vissa är allvarliga säkerhetsbrister, som den som tillät vem som helst att få administratörsåtkomst till din Mac genom att ange "root" som lösenord.
Ytterligare en säkerhetsbrist avslöjas
Det senaste hör också till denna kategori. Markerad i en buggrapport på Open Radar tillåter bristen vem som helst att ändra App Store -inställningarna inom Systeminställningar. Om du anger något i lösenordet, vilket normalt kräver ditt inloggningslösenord, ger fältet åtkomst till menyn.
Väl inne i den här menyn kan användaren göra triviala saker som att aktivera eller inaktivera automatiska uppdateringar - inklusive macOS uppdateringar - och mer allvarliga saker som att ändra hur lång tid det tar innan ditt lösenord krävs mellan App Store inköp.
Användaren måste vara inloggad på ett administratörskonto, så detta fungerar inte i gästkonton. Det är också värt att nämna att andra systeminställningsmenyer inte kan låsas upp med samma trick.
Apple kan ha en åtgärd klar
Enligt MacRumors, som först märkte felrapporten, finns bristen i Apples senaste version 10.13.2 - men inte i Sierra -versioner av macOS. Frågan kan inte återges i de senaste 10.13.3 -betorna, så det verkar som om Apple redan kan fixa.
Om Apple redan är medvetet om problemet har det säkert hoppats att det skulle kunna åtgärda det innan någon märkte problemet.
Vid det här laget tänker du kanske: "App Store -inställningar är upplåsta som standard på administratörskonton." Men som MacRumors tillägger, "att kunna kringgå en Macs lösenordsprompt med valfritt lösenord är uppenbarligen oacceptabelt."
Vad är poängen med att ha uppmaningen alls?
Jag har redan skrivit långt om hur Apple måste göra något för att eliminera frekventa buggar som den här och varnade för att företaget kan skada sitt rykte så småningom. I takt med att ett ökande antal buggar upptäcks i nya versioner ökar potentialen för det.
Uppdatering: En källa som känner till saken insisterar på att det här felet inte skapar någon exponering för High Sierra -användare. App Store -preferensmenyn är upplåst som standard på administratörskonton.
Men om en administratör lås i App Store -menyn kan någon annan som använder sitt konto låsa upp det igen utan att ange rätt lösenord. Återigen, det här fungerar inte om du är inloggad som en vanlig eller gästanvändare utan administratörsbehörighet.
Detta beteende tillåter inte åtkomst till känslig användarinformation på Mac. Användare och andra systeminställningar kan inte ändras utan användarnas administratörslösenord. Vi får veta Apples nästa High Sierra -uppdatering, version 10.13.3, kommer att eliminera problemet.
Apple har sedan dess utfärdat ett officiellt uttalande om felet, som lyder:
Vi beklagar detta fel och ber om ursäkt till alla Mac -användare, både för att släppa detta problem och för den oro det har orsakat. Våra kunder förtjänar bättre. Vi granskar våra utvecklingsprocesser för att förhindra att detta händer igen.
