macOS 10.13.2系統(tǒng)中被爆出一個新漏洞，利用漏洞可以讓本地管理員用任何用戶名密碼解鎖App Store系統(tǒng)設(shè)置。也就是說如果你在辦公室里離開時沒有鎖屏，別人就可以更改你的App Store設(shè)置。 使用這個漏洞非常簡單，只需要打開App Store系統(tǒng)設(shè)置，如果小鎖被鎖住，點(diǎn)擊它，macOS會提示輸入密碼。輸入任何密碼點(diǎn)擊解鎖，App Store系統(tǒng)設(shè)置就被解鎖了，之后黑客就可以操作其他的選項，包括如何安裝更新、從什么渠道安裝軟件等。 經(jīng)過測試，漏洞在macOS 10.13.1版本上無效。另外macOS High Sierra 10.13.3的第三和第四個測試版也無效，因此漏洞可能只對10.13.2和10.13.3的早期beta版有效。 過去的3個月里這已經(jīng)是macOS第二次被爆出于密碼有關(guān)的漏洞了，上次的漏洞可以讓用戶不斷地按回車鍵獲取root權(quán)限。 macOS High Sierra能讓用戶創(chuàng)建一個空密碼的root賬號，攻擊者通過反復(fù)按鍵就可以創(chuàng)建root賬號，之后就可以登陸設(shè)備，root賬號也可以被用來遠(yuǎn)程訪問。 詳細(xì)操作視頻演示：

參考來源：BleepingComputer

本文地址：http://m.love62.cn/safety/26129.html