Spokojnie, nowa luka w macOS nie tak groźna, jak ją malują

Koniec zeszłego roku nie był dla Apple udany. Upubliczniona została krytyczna luka, która pozwalała na dostęp do roota bez podania hasła. Dziś społeczność zgłasza, że w macOS 10.13.2 bez hasła można uzyskać dostęp do konfiguracji App Store. Nie ma jednak powodu do paniki, a podnoszenie alarmu jest w tym przypadku nieco na wyrost.

A to dlatego, że jeśli w macOS zalogowany jest użytkownik z uprawnieniami administratora, to ustawienia App Store są domyślnie odblokowane. Może on jednak je zablokować kliknięciem na kłódkę. Rzecz w tym, że w macOS 10.13.3 nie stanowi to żadnego zabezpieczenia. Społeczność Open Radar zgłasza, że w macOS-ie w wersji 10.13.2 możliwe jest ponowne uzyskanie dostępu po wpisaniu dowolnego ciąg znaków zamiast hasła.

Wątpliwości budzi więc nieskuteczność weryfikacji hasła po umyślnym zablokowaniu. Widać, że po zeszłorocznej wpadce użytkownicy reagują w tej kwestii szczególnie żywo i wolą dmuchać na zimne. Sprawy nie należy zresztą całkowicie bagatelizować. Zwłaszcza że w ustawieniach App Store lokalny administrator może zarządzać ustawieniami aktualizacji oprogramowania i systemu, a także aktualizacjami bezpieczeństwa. Możliwe jest tutaj także wyłączenie automatycznych aktualizacji i to na wszystkich komputerach, na których wykorzystywane jest bieżące konto.

Błąd występuje wyłącznie w przypadku prób uzyskania dostępu z już zalogowanego konta administratorskiego. Ponadto został on wyeliminowany w najnowszej becie macOS-a, oznaczonej numerem 10.13.3 Nie występuje on także w starszych wersjach systemu – wszystko wskazuje na to, że problem dotyczy wyłącznie aktualnej stabilnej wersji macOS High Sierra.