Парольную защиту настроек App Store на macOS можно обойти
Безопасность Mac OS
На macOS High Sierra объявился еще один недочет в системе авторизации: если пользователь вошел в систему под учетной записью администратора, новый баг позволяет разблокировать пользовательские настройки App Store, используя произвольный пароль.

По свидетельству Эрика Холтама (Eric Holtam), опубликовавшего соответствующий отчет на сайте сообщества разработчиков Open Radar, данная брешь присутствует только в новейшей версии macOS — 10.13.2 — и грозит лишь сменой настроек AppStore и никаких других.

Уязвимость исправно воспроизводится, если осуществить вход под аккаунтом администратора, открыть раздел App Store Preferences в окне System Preferences, заблокировать доступ к этим настройкам, если они разблокированы, затем кликнуть значок замка для разблокировки и по подсказке ввести любой пароль.

Как видим, злоумышленник сможет воспользоваться этим багом лишь в том случае, если у него есть физический доступ к машине, а ее законный владелец вошел в систему как локальный админ, а затем оставил ее без присмотра.

Тем не менее, Apple уже подготовила патч и даже включила его в состав бета-версии macOS High Sierra 10.13.3. Эта заплатка станет доступной всем пользователям с ближайшим обновлением ОС.

Напомним, в конце ноября стало известно об аналогичной досадной ошибке парольной защиты на macOS High Sierra, позволяющей получить права root на компьютере. Эксплойт этой более серьезной уязвимости был возможен лишь в том случае, если для root-аккаунта не установлен пароль.