Kolejna luka bezpieczeństwa w macOS
W serwisie OpenRadar zgłoszona została w poniedziałek kolejna już luka bezpieczeństwa w systemie macOS High Sierra 10.13.2. Błąd polega na tym, że użytkownik może uzyskać dostęp do preferencji aplikacji App Store z poziomu ustawień systemowych bez podawania hasła.
Aby odtworzyć błąd należy uruchomić Preferencje systemowe i wybrać App Store. W lewym dolnym rogu znajduje się ikona kłódki. Jeśli kłódka jest otwarta to należy kliknąć ją by zablokować możliwość dokonywania zmian w ustawieniach App Store. W celu odblokowania ponownie kliknąć ikonę kłódki. Pojawi się okno, w którym wpisać należałoby hasło użytkownika komputera. Jednak z powodu błędu wpisanie hasła nie jest konieczne. Można zostawić puste pole lub wpisać dowolny ciąg znaków i kliknąć Odblokuj. Dostęp do ustawień zostanie odblokowany.
Takie działanie możliwe jest tylko na koncie użytkownika z uprawnieniami administratora. Na innych kontach hasło jest wymagane. Co ważne, błąd dotyczy jedynie preferencji App Store, a luka została załatana w becie kolejnej wersji systemu - macOS High Sierra 10.13.3. Błędu nie da się odtworzyć także w systemie 10.12.6.
Na szczęście nieautoryzowany dostęp do tych ustawień nie jest bardzo niebezpieczny. Można tam na przykład wyłączyć pobieranie aktualizacji systemu i programów, w tym aktualizacji bezpieczeństwa.
Potencjalnie niska szkodliwość błędu nie usprawiedliwia jego wystąpienia. To już kolejna tego typu wpadka w ostatnim czasie. Pod koniec listopada wykryto lukę w macOS High Sierra polegającą na tym, że system pozwalał zalogować się do konta root bez podawania hasła.
Źródło: MacRumors za OpenRadar