当前位置:安全资讯 >> 全文

macOS 又曝漏洞 本地管理员能以任意密码解锁App Store的系统偏好设置

发布时间:2018-1-11 18:40 标签: macOS,密码
分享到 0

macOS 10.13.2 中存在一个 bug,任何人只要作为本地管理员登录就可通过任意用户名和密码解锁 App Store 的系统偏好设置。也就是说,如果你的账户是管理员账户,那么你离开电脑后,任何人都可在你不知情的情况下修改 Mac App Store 设置。

虽然这个问题的严重性不及此前反复按下某个按钮就能创建 root 账户的问题,但它确实表明macOS 在密码使用问题上确实存在一些代码审计问题。这是三个月以来 macOS 出现的第二次利用密码获取额外权限的问题。

利用这个漏洞的方法非常简单。打开 App Store 系统偏好设置,如果小锁图标是锁定状态,那么点击小锁,macOS 随后会提示你输入用户名和密码。输入任意用户名和密码并按下“解锁”键,App Store 系统偏好设置就白解锁。这样你就能更改设置如安装哪些更新、是否安装安全更新等。

本文作者自己在 macOS 10.13.1 上测试后发现并不起作用。Mac Rumors 报道称,这个漏洞也无法适用于 macOS High Sierra 版本10.13.3 的第三个和第四个测试版,因此这个问题似乎仅存在于 10.13.2 以及10.13.3 之前的测试版中。

用户暂时不应使用本地管理员账户,或者确保不使用 Mac 时将其关闭。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/apple/macos-bug-lets-local-admin-unlock-app-store-system-prefs-with-any-password/
参与讨论,请先 登录 | 注册

用户评论