苹果 macOS 再曝漏洞，输任意密码可进入 App Store 首选项

点击上方“优快云”，选择“置顶公众号”

关键时刻，第一时间送达！

据外媒 MacRumors 今日报道，苹果当前版本的 macOS High Sierra 再曝安全漏洞，它允许输入任意密码解锁系统设置中的 App Store。

MacRumors 表示，通过以下步骤在管理员帐户上能够重现 macOS High Sierra 10.13.2 版（操作系统的最新公开版）上的漏洞问题：

• 打开系统首选项；

• 进入 App Store 设置；

• 查看加锁图标（如果是处于没有加锁的状态，那么首先加锁）；

• 点击挂锁图标；

• 输入任意用户名和密码，即可点击解锁。

通过这个首选项面板，用户可以启用/禁用应用和操作系统的下载升级和自动安装——尽管这个漏洞不像去年 11 月爆出的权限登录漏洞一样严重，且似乎并不会立即带来安全风险，但如果有人使用过你的电脑，那么他们可以禁用自动安全更新，进一步利用原本应当被修复好的漏洞。

2017 年 11 月，苹果 macOS 系统曝出“root”权限登录漏洞，无需密码即可解锁电脑：用户只需进入"系统偏好"设置，选择"用户和组"，点击解锁按钮，这时会弹出一个提示框要求输入用户名和密码才能变更设置；接下来只需在用户名一栏中输入"root"，密码不用填，多次点击解锁后即可成功进入系统。

此后，苹果官方紧急推送了 macOS 的安全更新，以修复这一漏洞。

不过正如报告中所述，此次漏洞影响中，非管理员用户的错误密码并不能解锁 App Store 首选项登录，也就是说，标准用户的帐户和密码不会造成影响。因为在默认情况下，App Store 设置对管理员用户是解锁的，管理员用户可以自行选择是否锁定所有的系统设置，以确保没有其他人能改动这些设置。此外，在 macOS Sierra 10.2.6 版本或是更低的版本中也不存在这个漏洞，用户可放心使用。

据悉，目前苹果已经修复了 macOS 10.13.3 最新测试版本中的 bug，但该版本现仍处于测试阶段，发布时间待定。

该漏洞爆发后，苹果官方立即回应：

非常抱歉带来这个错误，我们向所有的 Mac 用户深表歉意，包括发布这个漏洞以及造成的影响。目前我们正在审核开发流程，以防止这种情况再次发生。

对于受到漏洞影响的用户来说，如果你将 App Store 偏好设置保持在了锁定状态，则需要在不使用 Mac 时确保退出管理员帐户。或者，在 macOS 10.13.3 发布之前，用户使用标准帐户而不是管理员帐户。