До App Store на macOS High Sierra 10.13.2 можна отримати доступ за допомогою будь-якого пароля

Експерти в області безпеки продовжують знаходити уразливості в операційній системі macOS High Sierra. На цей раз у поточній публічній версії macOS High Sierra 10.13.2 була виявлена помилка, що дозволяє будь-якому користувачеві з обліковим записом адміністратора отримати доступ до налаштувань App Store шляхом введення довільних облікових даних.

На платформі Open Radar з’явився звіт, який повідомляє про нову помилку macOS High Sierra 10.13.2. Виявляється, для зміни системних налаштувань в App Store підійде будь-який пароль.

Як це працює?

Через помилку macOS High Sierra приймає будь-який пароль для розблокування налаштувань у відповідному розділі в зостасунку «Системні налаштування». Для того, щоб скористатися вразливістю, зловмисникові потрібно усього лише відкрити настройки App Store, натиснути на значок замка, якщо він відкритий, натиснути на нього повторно, а потім ввести будь-який логін і пароль та натиснути на «Розблокувати». Отримавши доступ до налаштувань, він зможе змінювати параметри, наприклад: які оновлення встановлювати, чи встановлювати оновлення безпеки та інше. Операційна система в цьому розділі не вважає неправильний пароль таким, тому будь-який випадковий набір чисел може підійти. Ви зможете редагувати налаштування магазину застосунків.

Найцікавіше полягає в тому, що введення будь-якого пароля спрацьовує тільки з адміністратором комп’ютера. Для інших користувачів невірний пароль не дозволить зробити будь-яких змін.

Наскільки все серйозно?

Наслідки цієї уразливості можуть виявитися серйозними. Будь-хто може розблокувати цей пункт і включити або відключити автоматичну установку оновлень macOS, застосунків, файлів системних даних і навіть оновлень безпеки.

Судячи з усього, вразливість зачіпає тільки версію 10.13.2. Проблема не відтворюється в редакції 10.13.1. Apple усунула уразливість у версії macOS 10.13.3, яка нині знаходиться на етапі тестування. Точна дата релізу даної версії поки не відома. Передбачається, що виробник представить її в січні 2018 року.

Це не перша ситуація, коли отримати доступ до Mac можна за допомогою будь-якої комбінації символів. Так, за останні три місяці це друга вразливість у macOS High Sierra, пов’язана з менеджером паролів. У листопаді минулого року експерт Лемі Орхан Ергін (Lemi Orhan Ergin) виявив проблему у версіях MacOS High Sierra 10.13.0, 10.13.1 і 10.13.2, що дозволяє будь-якому користувачеві отримати права суперкористувача на пристрої без пароля.

Це викликає тривогу у користувачів, оскільки саме безпека часто є головною причиною переходу з Windows на macOS. Чи варто нам чекати нових сюрпризів, покаже час.