Dans macOS 10.13.2, soit la version stable actuelle de macOS High Sierra, il a été repéré un bug faisant qu'un utilisateur local peut accéder aux préférences de l'App Store en saisissant n'importe quel mot de passe.
Ce souci (Bleeping Computer a réalisé une vidéo ci-dessous) n'a été constaté que lorsque la connexion à l'ordinateur Mac a eu lieu avec un compte administrateur. Si l'ordinateur est alors laissé sans surveillance et sans une déconnexion, quiconque en local peut exploiter le bug.
On comprend rapidement qu'il ne s'agit pas d'un problème de sécurité majeur, d'autant que la latitude des modifications possibles pour un individu malintentionné est restreinte.
Le bug n'est plus présent dans la bêta de macOS 10.13.3. Il est d'une bien moins moindre sévérité par rapport au bug qui permettait à un attaquant (local et potentiellement à distance avec certains services partagés activés) d'obtenir un accès root sans fournir un mot de passe.
Pour ce bug de sécurité de l'accès root sans mot de passe, Apple avait publié un patch en urgence et présenté ses excuses : " Nos clients méritent mieux. Nous auditons nos processus de développement pour éviter que cela ne se reproduise. "
Manifestement, il y a encore quelques soucis périphériques touchant la gestion des mots de passe.
