近日在Mac家园中爆出一个苹果 0day漏洞 ，它可以让任何人无需密码访问你的App Store偏好设置，不过前提是你的Mac电脑处于解锁状态。

你能够通过以下步骤在管理员级帐户上重现macOS High Sierra 10.13.2版（操作系统的最新公开版）上的漏洞：

1.点击系统偏好设置；
2.点击App Store；
3.如果需要，点击挂锁图标将其锁定；
4.再次点击挂锁图标；
5.输入你的用户名和密码；
6.点击解锁。

这意味着任何人都不需要用户名或密码，就可以访问你的mac。该漏洞允许任何人使用任何密码，比如一个字母或一个数字来访问“首选项”面板中的App Store设置。其实最新的macOS High Sierra 10.13.3测试版并不存在这个漏洞，这意味着苹果早发现了该漏洞，并修复了它。 但问题是，世界上大部分地区的Mac电脑仍然使用macOS 10.13.2或10.13.1甚至10.13，而macOS 10.13.3软件更新还需要几周的时间。

也就是说苹果已经修复了macOS 10.13.3的最新测试版本中的漏洞，而该版本目前仍处于测试阶段，可能会在本月的某个时候发布。不过在macOS Sierra版本10.12.6或更低版本中不存在该漏洞。

在当前的macOS 10.13.2上，这个漏洞让任何人在系统首选项中设置中，使用任意密码来打开App Store首选项页面。利用这个漏洞，用户可以启用或者禁用应用和操作系统升级下载和安装等喜好设定

这是近几个月来第二个与密码设置相关的漏洞，它是在macOS High Sierra版本10.13.1上使用一个空白的密码访问root超级用户帐户的一个安全漏洞，而苹果则通过附加的安全更新来修复。

在root密码漏洞之后，苹果公司在一份声明中表示歉意，并补充说，他们正在“审计其开发过程以防止再次发生”，所以这是一个相当令人尴尬的事情。

值得注意的是，默认情况下，App Store首选项在管理员帐户中处于解锁状态，并且由于此菜单中的设置不太敏感，因此此漏洞不像第一个密码的根漏洞那么严重。

苹果可能会尽早修复这个漏洞，所以有可能我们会看到类似的补充更新，或者可能会随macOS High Sierra版本10.13.3一起发布。与此同时，如果你将App Store偏好设置保持锁定状态，则需要更加确保在远离Mac时退出管理员帐户，或者，在macOS 10.13.3发布之前，用户可以使用标准帐户而不是管理员帐户。