Apple 的 Mac 系统再爆出与密码有关的漏洞。有使用者发现他们可以在 macOS High Sierra 里,透过任何密码都可以修改 App Store 的喜好设定。这漏洞是在使用者作为系统管理员的身份证入帐户后,喜好设定会首先因此帐户的特性而自动解锁,但如果喜好设定页面仍然继续锁定的话,使用者这时候即使任意填写密码也可能解锁;幸好的是其他设定页没有出现类似问题,仍然需要正确密码才可以解锁。我们已经向 Apple 查询有关事件,当有回应的时候就会更新本文。不过我们也已经知道这漏洞将会在 macOS 10.13.3 中解决,因为这问题在 beta 版里也有针对修复了。
虽说这个漏洞并不会影响到系统管理员的层面,可是也不能不担心不法之徒会因此占到任何便宜。像是他们可能会把设定改成 App Store 能自动下载内容而不需要先通知使用者,那就可能会以透过其他方式“帮“使用者下载奇怪的内容。
