macOS High Sierra 10.13.2、App Storeの「システム環境設定」を管理者のパスワードなしで解除できるバグ

Open Radarが、Macの「システム環境設定」における「App Store」メニューのロック解除について、セキュリティの脆弱性を明らかにしました。

通常、システム環境設定のロック解除は、管理者以外では行うことができません。
しかし、現在のmacOS High Sierraバージョン10.13.2では、「App Store」のセクションでは管理者のパスワードなしでロックが解除でき、システム設定の変更が可能です。

MacRumorsは以下のようなテストを行いました。

•システム環境設定をクリックします。
•App Storeをクリックします。
•必要に応じて南京錠アイコンをクリックしてロックします。
•南京錠アイコンをもう一度クリックします。
•（ポップアップウィンドウに）ユーザー名とパスワードを入力します。
•[ロック解除]をクリックします。

ただし、現在開発者に公開されているmacOS High Sierra 10.13.3 beta 3以降では、このバグは再現できません。

このセキュリティ脆弱性によって、 Macへの物理的またはリモートアクセスが可能なユーザーは、App Storeの設定をロック解除し、macOSアップデート、アプリのアップデート、システムデータファイル、さらには皮肉なことにセキュリティアップデートを自動的にインストールする設定を有効または無効にすることができるので、今回のバグはかなり深刻なバグです。

（via MacRumors）

以前にも以下のような管理者権限に関するバグがありました。