Jeder Benutzer mit physischem Zugriff auf Ihren Mac mit macOS High Sierra 10.13.2 kann auf Ihre App Store-Einstellungen in den Systemeinstellungen zugreifen und diese ändern, ohne ein legitimes Kennwort eingeben zu müssen.
Wie in einem auf Open Radar eingereichten Fehlerbericht erwähnt, kann der Abschnitt "App Store" in den Systemeinstellungen durch eine in der neuesten kommerziellen Version von Apples Desktop-Betriebssystem festgestellte Sicherheitslücke mit einem beliebigen Administratorkennwort entsperrt werden.
Um dieses Problem unter macOS High Sierra Version 10.13.2 zu reproduzieren, melden Sie sich mit einem Konto auf Administratorebene bei Ihrem Mac an und starten Sie das Programm Systemeinstellungen, dann klick Appstore. Klicken Sie anschließend auf das Schlosssymbol, um es bei Bedarf zu sperren, und klicken Sie dann erneut auf das Schlosssymbol. Geben Sie nun den Benutzernamen und das Passwort Ihres Mac-Kontos ein und klicken Sie auf Freischalten.
Dies sollte ausreichen, um uneingeschränkten Zugriff auf die App Store-Einstellungen zu erhalten. Andere Systemeinstellungen können nur mit einem korrekten Administratorkennwort entsperrt werden. Wir sollten auch darauf hinweisen, dass die App Store-Einstellungen für Administratorkonten standardmäßig freigegeben sind.
Wie MacRumors erklärt, kann jeder mit physischem Zugriff auf Ihren Computer und Zugriff auf Administratorebene Ihre App Store-Einstellungen entsperren und Einstellungen wie die automatische Installation von MacOS-Updates, App-Updates, Systemdatendateien und sogar Sicherheitsupdates ändern ein Bug wie dieser.
"Während die Schwere des nicht autorisierten Zugriffs auf das App Store-Menü umstritten ist, ist der zugrunde liegende Fehler, der die Umgehung einer Passwortabfrage mit einem Passwort ermöglicht, offensichtlich inakzeptabel", stellte die Veröffentlichung fest.
Die Veröffentlichung konnte das Problem unter macOS Sierra Version 10.12.6 nicht reproduzieren, was darauf hindeutet, dass es nur öffentliche Versionen von macOS High Sierra betrifft. Die Sicherheitslücke kann auch nicht in der neuesten Entwickler-Beta 4 von macOS High Sierra 10.13.3 reproduziert werden, was darauf hindeutet, dass dieses bevorstehende Software-Update bereits ein Update für das Problem enthält.
