К App Store на macOS High Sierra 10.13.2 можно получить доступ с помощью любого пароля

Эксперты в области безопасности продолжают находить уязвимости в операционной системе macOS High Sierra. На этот раз в текущей публичной версии macOS High Sierra 10.13.2 была обнаружена ошибка, позволяющая любому пользователю с учетной записью администратора получить доступ к настройкам App Store путем ввода произвольных учетных данных.

На платформе Open Radar появился отчет, сообщающий о новой ошибке macOS High Sierra 10.13.2. Оказывается, для изменения системных настроек в App Store подойдет любой пароль.

Как это работает?

Из-за ошибки macOS High Sierra принимает любой пароль для разблокировки настроек в соответствующем разделе в приложении «Системные настройки». Для того, чтобы воспользоваться уязвимостью, злоумышленнику потребуется всего лишь открыть настройки App Store, нажать на значок замка, если он открыт, нажать на него повторно, а затем ввести любой логин и пароль и нажать на «Разблокировать». Получив доступ к настройкам, он сможет изменять параметры, например: какие обновления устанавливать, устанавливать ли обновления безопасности и т. д. Операционная система в этом разделе не считает неправильный пароль таковым, поэтому любой случайный набор чисел может подойти. Вы сможете редактировать настройки магазина приложений.

Самое интересное состоит в том, что ввод любого пароля срабатывает только с администратором компьютера. Для остальных пользователей неверный пароль не позволит произвести каких-либо изменений.

Насколько всё серьёзно?

Последствия этой уязвимости могут оказаться серьезными. Любой может разблокировать этот пункт и включить или отключить автоматическую установку обновлений macOS, приложений, файлов системных данных и даже обновлений безопасности.

Судя по всему, уязвимость затрагивает только версию 10.13.2. Проблема не воспроизводится в редакции 10.13.1. Apple устранила уязвимость в версии macOS 10.13.3, которая в настоящее время находится на этапе тестирования. Точная дата релиза данной версии пока не известна. Предполагается, что производитель представит ее в январе 2018 года.

Это не первая ситуация, когда получить доступ к Mac можно при помощи любой комбинации символов. Так, за последние три месяца это вторая уязвимость в macOS High Sierra, связанная с менеджером паролей. В ноябре минувшего года эксперт Леми Орхан Эргин (Lemi Orhan Ergin) выявил проблему в версиях MacOS High Sierra 10.13.0, 10.13.1 и 10.13.2, позволяющую любому пользователю получить права суперпользователя на устройстве без пароля.

Это вызывает тревогу у пользователей, так как именно безопасность часто главная причина перехода с Windows на macOS. Стоит ли нам ждать новых сюрпризов, покажет время.