На сайте Open Radar появилось сообщение об очередной уязвимости в macOS High Sierra. Проблема позволяет изменить часть настроек системы, не вводя при этом реальный пароль пользователя.
Если точнее, в параметрах App Store можно изменить периодичность установки обновлений и некоторые другие параметры. При сохранении система запросит пароль, но в окно можно ввести совершенно любые данные или даже оставить поле пустым.
Несмотря на то, что об уязвимость купертиновцы узнали еще 8 января, они не исправили ее в обновлении 10.13.2 (17C205) – оно лишь частично закрывало уязвимости Meltdown и Spectre. По информации Open Radar, данный баг устранен в апдейте 10.13.3, но он пока находится на стадии бета-тестирования. В любом случае данную уязвимость нельзя назвать критичной, потому что без прав администратор воспользоваться ею все равно не получится.
Напомню, в ноябре прошлого года, в macOS High Sierra была обнаружена уязвимость, которая позволяла злоумышленникам получить root-доступ за считанные секунды, система при этом даже не требовала ввести пароль.