Отчет об ошибке, отправленный на Open Radar на этой неделе, выявил уязвимость в безопасности текущей версии macOS High Sierra, которая позволяет разблокировать меню App Store в Системных настройках с помощью любого пароля.

MacRumors удалось воспроизвести проблему в macOS High Sierra версии 10.13.2, последнем публичном выпуске операционной системы, на учетной записи администратора, выполнив следующие действия:

• Нажмите на Системные настройки.
• Нажмите на App Store.
• Нажмите на значок замка, чтобы заблокировать его при необходимости.
• Снова нажмите на значок замка.
• Введите имя пользователя и любой пароль.
• Нажмите Разблокировать.

Как упоминалось в отчете, мы можем подтвердить, что запрос на вход в настройки App Store не принимает неправильный пароль для учетной записи неадминистратора, что означает отсутствие изменений в поведении для стандартных учетных записей пользователей.

Мы также не смогли обойти другие запросы на вход в Системных настройках с неправильным паролем для любого типа учетной записи, поэтому более конфиденциальные настройки, такие как Пользователи и группы, а также Безопасность и конфиденциальность, не подвержены этой ошибке.

Apple исправила ошибку в последней бета-версии macOS 10.13.3, которая в настоящее время находится в стадии тестирования и, вероятно, будет выпущена в этом месяце. Ошибка отсутствует в macOS Sierra версии 10.12.6 и более ранних версиях.

В текущей версии macOS 10.13.2 ошибка дает любому, кто имеет физический доступ на уровне администратора к Mac, возможность отключить настройки, связанные с автоматической установкой программного обеспечения macOS, безопасностью и обновлениями приложений.

Это уже вторая ошибка, связанная с паролем, которая затронула macOS High Sierra за последние месяцы, после крупной уязвимости безопасности, которая предоставляла доступ к учетной записи суперпользователя root с пустым паролем в macOS High Sierra версии 10.13.1, которую Apple исправила с помощью дополнительного обновления безопасности.

После уязвимости с паролем root Apple принесла извинения в своем заявлении, добавив, что она «проводит аудит своих процессов разработки, чтобы предотвратить повторение подобных случаев», так что это довольно неловкая оплошность.

Мы глубоко сожалеем об этой ошибке и приносим извинения всем пользователям Mac как за выпуск с этой уязвимостью, так и за вызванное ею беспокойство. Наши клиенты заслуживают лучшего. Мы проводим аудит наших процессов разработки, чтобы предотвратить повторение подобных случаев.

Стоит отметить, что настройки App Store по умолчанию разблокированы для учетных записей администраторов, и, учитывая, что настройки в этом меню не являются чрезмерно конфиденциальными, эта ошибка не так серьезна, как предыдущая уязвимость root.

Apple, вероятно, захочет исправить эту ошибку как можно скорее, поэтому, возможно, мы увидим похожее дополнительное обновление, выпущенное в ближайшее время, или, возможно, они ускорят выпуск macOS High Sierra версии 10.13.3. Apple немедленно не ответила на наш запрос о комментарии по этому вопросу.

А пока, если вы защищаете настройки App Store паролем, вам следует более тщательно следить за тем, чтобы выходить из своей учетной записи администратора, когда вы отходите от своего Mac. В качестве альтернативы, до выхода macOS 10.13.3, пользователи могут использовать стандартную учетную запись вместо учетной записи администратора.

Хотя эта ошибка не так опасна, как уязвимость с паролем root, возможность обойти запрос на вход с любым паролем — это то, чего, очевидно, быть не должно, и это неловкий недосмотр для Apple.