Pentru că Apple face software ”de calitate” nu trece nicio lună fără să aflăm că s-a mai descoperit o vulnerabilitate nouă, critică, în macOS. Și de data asta e vorba tot despre o vulnerabilitate de autentificare, numai că de data asta e legată de schimbarea setărilor din App Store.
Și e chiar simplu: se pot schimba setările App Store din System Preferences fără să fie nevoie să se știe parola – se poate scrie orice și accesul este permis.
Sună familiar? Aproape. Problema e similară cu cea descoperită în noiembrie, unde se putea activa cam la fel contul de administrator cu parola ”root”.
Ca de obicei Apple testează prost (sau deloc) software-ul. Se pare că se concentrează mai mult pe hardware, pentru că de acolo vine purcoiul de bani. Software-ul e gratis, iar dacă e gratis se pare că e tratat ca atare.
Bug-ul de acum este deja prezent în lista Open Radar. Odată exploatat, permite activarea sau dezactivarea update-urilor (incluzând cele ale sistemului de operare sau chiar schimbarea perioadei la care e nevoie să se reintroducă parola pentru cumpărăturile din Store.
E totuși o veste bună: ca să poată fi exploatată problema e nevoie ca cel ce face asta să aibă acces pe contul administrator (nu merge pe guest).
Actuala problema e prezentă doar în macOS High Sierra (10.13.2) dar nu și în beta-urile 10.13.3 – înseamnă că Apple știe de problemă și cumva a remediat-o în următoarea versiune. Deci e logic să sperăm că va veni un patch într-un update apropiat. Numai ca acel update să nu strice altceva, în stilul deja consacrat al Apple.
Cred că e bine să știți de această problemă dacă folosiți macOS High Sierra.
