蘋果新版macOS又出漏洞：任意密碼可解鎖App Store設置

　　據科技博客MacRumors北京時間1月11日報道，Open Radar網站本周發布的一份漏洞報告曝光了當前macOS High Sierra系統版本的一個安全漏洞。該漏洞導致App Store在偏好設置中的菜單可以使用任意密碼解鎖。

　　經過驗證，在蘋果最新macOS High Sierra 10.13.2系統中，使用管理員級別的賬號就可以重現上述漏洞。首先，點擊系統偏好設置，然后點擊App Store，查看是否已經上鎖，如果沒有上鎖點擊上鎖。再點擊已上鎖的圖標時，系統會提示輸入用戶名和密碼。輸入用戶名和任意密碼后，就可完成解鎖。

　　可以確認的是，如果使用的不是管理員賬戶，那么系統無法使用錯誤的密碼解鎖App Store偏好設置。這一漏洞也不存在于macOS Sierra 10.2.6或更早版本中。

　　蘋果已經在最新版macOS Sierra 10.13.3中修復了這一漏洞，該系統仍在測試過程中，很可能在本月某個時候發布。

　　在當前macOS High Sierra 10.13.2系統中，該漏洞能夠允許任何人以管理員身份修改Mac設置，禁用與自動安裝macOS更新、安全以及應用更新相關的設置。

　　這已經是macOS High Sierra系統出現的第二次與密碼相關的漏洞。此前，macOS High Sierra 10.13.1曝出重大安全漏洞。用戶不需要密碼，只需輸入用戶名“root”即可進入系統。

　　需要指出的是，在管理員賬號下，App Store的偏好設置是默認解鎖的，因為菜單中的設置并不是十分敏感。這一漏洞沒有上一次的“root”漏洞那么嚴重。