พบบั๊กบน macOS เสี่ยงการตั้งค่าของ App Store ถูกแก้ไขแม้ไม่รู้รหัสผ่าน

Open Radar คอมมูนิตี้สำหรับรายงานบั๊ก ออกมาเปิดเผยถึงช่องโหว่บนระบบปฏิบัติการ macOS 10.13.2 ซึ่งช่วยให้ใครก็ตามสามารถปลดล็อก System Preferences ของ App Store ในขณะที่ล็อกอินเป็น Local Admin อยู่ได้ทันที โดยไม่จำเป็นต้องทราบ Username และ Password

อธิบายให้เห็นภาพมาขึ้นคือ ถ้าคุณล็อกอินด้วย Username ที่มีสิทธิ์เป็น Admin ของเครื่อง แล้วลุกออกจากหน้าจอไป ผู้ใช้คนอื่นสามารถเข้ามาเปลี่ยนการตั้งค่าของ App Store บนเครื่องของคุณได้ทันทีโดยไม่จำเป็นต้องรู้รหัสผ่าน ถึงแม้ว่าการตั้งค่าเหล่านั้นจะถูกล็อกอยู่ก็ตาม ดังแสดงในวิดีโอสาธิตด้านล่าง

จากวิดีโอ จะเห็นว่าการโจมตีบั๊กนี้ทำได้ง่ายมาก เพียงแค่เปิด System Preferences ของ App Store แล้วกดปลดล็อกแม่กุญแจด้านซ้ายล่าง จากนั้นใส่ Username และ Password อะไรก็ได้ จากนั้นกด Unlock ก็จะสามารถปลดล็อกการตั้งค่า App Store ได้ทันที ส่งผลให้ใครก็ตามสามารถเปลี่ยนการตั้งค่า เช่น อัปเดตไหนที่ต้องการติดตั้ง ต้องการติดตั้งอัปเดตอัตโนมัติหรือไม่ เป็นต้น

ถึงแม้ว่าบั๊กนี้จะไม่ร้ายแรงเท่าบั๊กก่อนหน้าที่ทำให้ใครก็ตามสามารถได้สิทธิ์ Root โดยกดไม่ใส่รหัสผ่านรัวๆ แต่ก็แสดงให้เห็นถึงปัญหาด้านการตรวจสอบและประเมินโค้ดในส่วนของการใช้รหัสผ่านบน macOS ซึ่งนับว่านี่เป็นบั๊กที่ 2 แล้วที่ค้นพบในช่วง 3 เดือนที่ผ่านมาที่ทำให้ผู้ใช้ได้สิทธิ์สูงกว่าที่ควรจะเป็น

บั๊กที่ค้นพบนี้ส่งผลกระทบต่อระบบปฏิบัติการ macOS เวอร์ชัน 10.13.2 เท่านั้น เวอร์ชันต่ำกว่านี้ไม่ได้รับผลกระทบแต่อย่างใด

ที่มา: https://www.bleepingcomputer.com/news/apple/macos-bug-lets-local-admin-unlock-app-store-system-prefs-with-any-password/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] งานแถลงข่าวกลุ่มย่อย ในหัวข้อ “The Culture of Innovation” การสร้างวัฒนธรรมของสตาร์ทอัพ กุญแจสู่การสร้างวัฒนธรรมด้านนวัตกรรม ของ อะเมซอน เว็บ เซอร์วิสเซส (ประเทศไทย)

วันที่ 28 มิถุนายน 2565 : Amazon เป็นแพลตฟอร์มที่สร้างสตาร์ทอัพที่ประสบความสำเร็จระดับโลกมากมาย เช่น Netflix, Stripe และ Airbnb ไปจนถึงสตาร์ทอัพในภูมิภาคเอเชียแปซิฟิค ไม่ว่าจะเป็น Grab, …

Effortless: เทรนด์ใหม่ที่เหนือกว่าแค่คำว่าง่าย ในการบริหารจัดการ Enterprise Storage

การบริหารจัดการระบบ IT ได้อย่างง่ายดายนั้นถือเป็นสิ่งที่จะสามารถช่วยให้ผู้ดูแลระบบ IT สามารถทำงานได้อย่างมีประสิทธิภาพมากยิ่งขึ้น แต่นิยามคำว่าง่ายของผู้พัฒนาเทคโนโลยีนั้นก็แตกต่างกันออกไป ทำให้หลายครั้งถึงแม้ว่าระบบ IT หนึ่งๆ จะดูเหมือนว่าสามารถบริหารจัดการได้ง่าย แต่เมื่อใช้งานจริงแล้วกลับต้องพบกับอุปสรรคอย่างมากมาย Pure Storage ในฐานะของผู้นำทางด้านเทคโนโลยี All …