據(jù)科技博客MacRumors北京時(shí)間1月11日?qǐng)?bào)道，Open Radar網(wǎng)站本周發(fā)布的一份漏洞報(bào)告曝光了當(dāng)前macOS High Sierra系統(tǒng)版本的一個(gè)安全漏洞。該漏洞導(dǎo)致App Store在偏好設(shè)置中的菜單可以使用任意密碼解鎖。

　　經(jīng)過(guò)驗(yàn)證，在蘋果最新macOS High Sierra 10.13.2系統(tǒng)中，使用管理員級(jí)別的賬號(hào)就可以重現(xiàn)上述漏洞。首先，點(diǎn)擊系統(tǒng)偏好設(shè)置，然后點(diǎn)擊App Store，查看是否已經(jīng)上鎖，如果沒(méi)有上鎖點(diǎn)擊上鎖。再點(diǎn)擊已上鎖的圖標(biāo)時(shí)，系統(tǒng)會(huì)提示輸入用戶名和密碼。輸入用戶名和任意密碼后，就可完成解鎖。

　　可以確認(rèn)的是，如果使用的不是管理員賬戶，那么系統(tǒng)無(wú)法使用錯(cuò)誤的密碼解鎖App Store偏好設(shè)置。這一漏洞也不存在于macOS Sierra 10.2.6或更早版本中。

　　蘋果已經(jīng)在最新版macOS Sierra 10.13.3中修復(fù)了這一漏洞，該系統(tǒng)仍在測(cè)試過(guò)程中，很可能在本月某個(gè)時(shí)候發(fā)布。

　　在當(dāng)前macOS High Sierra 10.13.2系統(tǒng)中，該漏洞能夠允許任何人以管理員身份修改Mac設(shè)置，禁用與自動(dòng)安裝macOS更新、安全以及應(yīng)用更新相關(guān)的設(shè)置。

　　這已經(jīng)是macOS High Sierra系統(tǒng)出現(xiàn)的第二次與密碼相關(guān)的漏洞。此前，macOS High Sierra 10.13.1曝出重大安全漏洞。用戶不需要密碼，只需輸入用戶名“root”即可進(jìn)入系統(tǒng)。

　　需要指出的是，在管理員賬號(hào)下，App Store的偏好設(shè)置是默認(rèn)解鎖的，因?yàn)椴藛沃械脑O(shè)置并不是十分敏感。這一漏洞沒(méi)有上一次的“root”漏洞那么嚴(yán)重。