Toute personne disposant d'un accès physique à votre Mac avec macOS High Sierra 10.13.2 est en mesure d'accéder et de modifier vos paramètres App Store dans les Préférences Système sans entrer de mot de passe légitime.
Comme mentionné dans un rapport de bogue soumis sur Open Radar, une faille de sécurité découverte dans la dernière version commerciale du système d'exploitation de bureau d'Apple permet de déverrouiller la section App Store des Préférences Système avec n'importe quel mot de passe administrateur.
Pour reproduire ce problème sur macOS High Sierra version 10.13.2, connectez-vous avec un compte de niveau administrateur à votre Mac et lancez Préférences de système, puis clique Magasin d'applications. Ensuite, appuyez sur l'icône du cadenas pour le verrouiller, si nécessaire, puis cliquez à nouveau sur l'icône du cadenas. Saisissez maintenant le nom d'utilisateur et le mot de passe de votre compte Mac et cliquez sur Ouvrir.
Cela devrait être suffisant pour vous donner un accès complet aux paramètres de l'App Store. Les autres volets des Préférences Système ne peuvent être déverrouillés qu'avec un mot de passe administrateur correct. Il convient également de souligner que les préférences de l'App Store sont déverrouillées par défaut sur les comptes administrateur.
Comme l'explique MacRumors, la faille permet à toute personne disposant d'un accès physique à votre ordinateur et d'un accès de niveau administrateur de déverrouiller vos préférences App Store et de modifier des paramètres tels que la possibilité d'installer automatiquement les mises à jour macOS, les mises à jour d'application, les fichiers de données système et même les mises à jour de sécurité qui corrigeraient un bug comme celui-ci.
"Bien que la gravité de l'accès non autorisé au menu de l'App Store soit discutable, le bogue sous-jacent permettant à une invite de mot de passe d'être contourné avec n'importe quel mot de passe est évidemment inacceptable", observe la publication..
La publication n'a pas pu reproduire le problème sur macOS Sierra version 10.12.6, ce qui suggère qu'il n'affecte que les versions publiques de macOS High Sierra. La faille de sécurité ne peut pas non plus être reproduite sur la dernière version bêta 4 du développeur de macOS High Sierra 10.13.3, ce qui suggère que cette prochaine mise à jour logicielle contient déjà un correctif pour le problème..
