พบบั๊กบน macOS เสี่ยงการตั้งค่าของ App Store ถูกแก้ไขแม้ไม่รู้รหัสผ่าน

Open Radar คอมมูนิตี้สำหรับรายงานบั๊ก ออกมาเปิดเผยถึงช่องโหว่บนระบบปฏิบัติการ macOS 10.13.2 ซึ่งช่วยให้ใครก็ตามสามารถปลดล็อก System Preferences ของ App Store ในขณะที่ล็อกอินเป็น Local Admin อยู่ได้ทันที โดยไม่จำเป็นต้องทราบ Username และ Password

อธิบายให้เห็นภาพมาขึ้นคือ ถ้าคุณล็อกอินด้วย Username ที่มีสิทธิ์เป็น Admin ของเครื่อง แล้วลุกออกจากหน้าจอไป ผู้ใช้คนอื่นสามารถเข้ามาเปลี่ยนการตั้งค่าของ App Store บนเครื่องของคุณได้ทันทีโดยไม่จำเป็นต้องรู้รหัสผ่าน ถึงแม้ว่าการตั้งค่าเหล่านั้นจะถูกล็อกอยู่ก็ตาม ดังแสดงในวิดีโอสาธิตด้านล่าง

จากวิดีโอ จะเห็นว่าการโจมตีบั๊กนี้ทำได้ง่ายมาก เพียงแค่เปิด System Preferences ของ App Store แล้วกดปลดล็อกแม่กุญแจด้านซ้ายล่าง จากนั้นใส่ Username และ Password อะไรก็ได้ จากนั้นกด Unlock ก็จะสามารถปลดล็อกการตั้งค่า App Store ได้ทันที ส่งผลให้ใครก็ตามสามารถเปลี่ยนการตั้งค่า เช่น อัปเดตไหนที่ต้องการติดตั้ง ต้องการติดตั้งอัปเดตอัตโนมัติหรือไม่ เป็นต้น

ถึงแม้ว่าบั๊กนี้จะไม่ร้ายแรงเท่าบั๊กก่อนหน้าที่ทำให้ใครก็ตามสามารถได้สิทธิ์ Root โดยกดไม่ใส่รหัสผ่านรัวๆ แต่ก็แสดงให้เห็นถึงปัญหาด้านการตรวจสอบและประเมินโค้ดในส่วนของการใช้รหัสผ่านบน macOS ซึ่งนับว่านี่เป็นบั๊กที่ 2 แล้วที่ค้นพบในช่วง 3 เดือนที่ผ่านมาที่ทำให้ผู้ใช้ได้สิทธิ์สูงกว่าที่ควรจะเป็น

บั๊กที่ค้นพบนี้ส่งผลกระทบต่อระบบปฏิบัติการ macOS เวอร์ชัน 10.13.2 เท่านั้น เวอร์ชันต่ำกว่านี้ไม่ได้รับผลกระทบแต่อย่างใด

ที่มา: https://www.bleepingcomputer.com/news/apple/macos-bug-lets-local-admin-unlock-app-store-system-prefs-with-any-password/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Dell Technologies เปิดตัวผลิตภัณฑ์ใหม่ ‘PowerEdge Gen 16’ พร้อมตอบโจทย์ทุกความต้องการ

ในช่วงที่ธุรกิจกำลังเผชิญกับยุคแห่งความท้าทายใหม่ ทั้งการทำ Digital Transformation, Data Insights, Supply Chain และ Security ปฏิเสธไม่ได้ว่าระบบไอทีคือหัวใจสำคัญในการขับเคลื่อนธุรกิจให้ผ่านพ้นจากความท้าทายเหล่านี้ ดังนั้น ธุรกิจจึงต้องมีโครงสร้างพื้นฐานแบบใหม่ตอบโจทย์สถานการณ์ปัจจุบัน โดยในงาน “POWEREDGE. …

พาชม True IDC Experience Center ศูนย์การเรียนรู้ด้าน Data Center & Cloud ณ True Digital Park

True IDC Experience Center เป็นศูนย์การเรียนรู้ที่เปิดโอกาสให้ผู้ประกอบการธุรกิจ ผู้ดูแลระบบ Data Center และ Cloud เหล่านักพัฒนา รวมถึงบุคคลทั่วไป ได้เข้ามาสัมผัสประสบการณ์การทำงานของระบบ Data Center …