Artikel top billede

Forskere slår alarm over kritisk fejl i Mac OS X

Apple har to gange overskredet deadline for rettelser, og Core Security udsender nu en advarsel.

Computerworld News Service: Sikkerhedseksperter advarer i denne uge om, at Apples OS X kører med en kritisk sårbarhed, som kriminelle kan bruge til at overtage maskiner med den ældre Leopard-version af styresystemet.
 
Selv om Leopard blev udskiftet med den nye Snow Leopard for mere end et år siden, så findes den gamle version stadig på omkring en tredjedel af alle Mac OS X-maskiner.
 
Fejlen er en variant af den sårbarhed, som Apple rettede sidste august i iOS. Fejlen blev brugt til at "jailbreake" enheder med iOS (altså til at åbne enheden - for eksempel en iPhone - for modifikationer og udefrakommende applikationer, red.), og kunne desuden misbruges til at plante malware eller overtage kontrollen af den berørte iPhone, iPad eller iPod Touch.
 
Ifølge Core Security Technologies, som udsendte en advisory mandag, har Apple allerede en rettelse på vej.
 
Alligevel har Core nu udsendt en advarsel sammen med en forklaring.
 
"Vi er normalt meget fleksible, og vi ændrer gerne datoen [for udsendelsen af en advisory], hvis leverandøren demonstrerer, at de er i fuld gang med en rettelse," siger Pedro Varangot, som er reseacher hos CoreLabs, der er Cores afdeling for forskning og udvikling.
 
"Vi udsender advarslen nu, efter Apple har sagt, at rettelsen er klar, fordi virksomheden to gange har sagt til os, at den ville blive udsendt, men derefter har overskredet deres egne deadlines," forklarer han.
 
Ifølge Core fortalte sikkerhedsfirmaet Apple om sårbarheden 26. august, eller to uger efter Apples rettelse af samme fejl i iOS. Først sagde Apple, at der ville blive udsendt en rettelse 25. oktober, og da virksomheden alligevel ikke kunne nå den deadline, blev den udskudt til 3. november.
 
"Vi har givet dem rigeligt med tid," siger Pedro Varangot og tilføjer, at Core sendte Apple en sidste advarsel per e-mail i sidste uge og fortalte, at sikkerhedsfirmaet havde planer om at udsende en advisory mandag. Core fik aldrig svar fra Apples sikkerhedshold.
 
Sårbarheden har at gøre med Apples håndtering af CFF (compact font format)-fonte, og den påvirker Mac OS X 10.5, bedre kendt som Leopard.

Snow Leopard går fri

Mac OS X 10.6, som også går under navnet Snow Leopard, er ikke sårbar over for fejlen, forklarer Pedro Varangot. Det har Apple også bekræftet over for Core, fortæller han.
 
"Apple har foretaget nogle ændringer i FreeType-biblioteket i 10.6, som gør at fejlen ikke findes i den nye version," forklarer Pedro Varangot.
 
Forbindelsen til jailbreak-buggen i iOS er en vigtig grund til, at Core har været så hurtigt ude med advarslen.

Selv om Pedro Varangot fortæller, at den angrebskode, som blev udsendt i sommers til iOS 4 ikke vil virke med Mac OS X 10.5, så frygter Core, at der alligevel er offentliggjort nok oplysninger til, at kriminelle også kan have fundet fejlen i Leopard og skabt angrebskode til den.
 
"Andre kan allerede have fundet fejlen og udnyttet den til målrettede angreb," bemærker Pedro Varangot. "Jailbreakme-hacket fik en del opmærksomhed i pressen, og mange researchere har været inde og se nærmere på det. Det vil ikke overraske mig, hvis nogen har fundet fejlen [i Mac OS X]."
 
For tre måneder siden spekulerede andre forskere på, om Mac OS X kunne indeholde samme fejl som den, hjemmesiden Jailbreakme.com brugte til at hacke iPhones med.

"Apple patcher ikke OS X. Er den ikke sårbar eller er virksomheden kun interesseret i at stoppe jailbreaking?" spurgte Charlie Miller på Twitter, da Apple havde rettet fejlen i iOS 4 den 11. august.
 
Charlie Miller giver også sit besyv med nu. "Det er et klassisk forløb for Apples research-kommunikation og grunden til, at researcherne ikke gider besværet," skriver han på Twitter med henvisning til Cores advisory.
 
Anibal Sacco, som er en af de to researchere fra Core, der opdagede sårbarheden, hentyder også til de forhindringer, som researchere nogle gange oplever i samarbejdet med Apple, i sit blogindlæg om sagen.
 
"Apple kan godt lide at fastsætte en dato, som ikke bliver overholdt, og hvis jeg skal være helt ærlig, så ligner det lidt en magtdemonstration fra virksomhedens side," skrev Anibal Sacco på sin personlige blog tirsdag.
 
Anibal Sacco er manager for Cores OS X platform-udvikling.
 
Forskellige Apple-blogs, blandt andet Tuaw.com, mener, at Apple sandsynligvis vil opdatere Mac OS X, og heriblandt Leopard, meget snart.
 
Pedro Varangot håber, at det er rigtigt. "Nu har Apple misset sin egen deadline [for en rettelse] to gange, så jeg håber, at de snart får udgivet den," siger han.
 
Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital kundeservice: Kom godt i gang med chatbots

Der er store gevinster at hente med chatbots, som kan håndtere en stor del af kommunikationen med brugere - både de eksterne som kunder og de interne som medarbejdere.Og lige rundt om hjørnet venter næste generation, nemlig de stemme-baserede chatbots, som står på skuldrene af de stemmestyrede home-devices som Amazons Alexa og Google Home.

07. december 2021 | Læs mere


Can AI bring value to your business?

You will learn how AI has been successfully used to enhance an existing business where artificial intelligence is deployed to work complementary to natural intelligence in a complex data process. And you will be presented with a business case where AI provides the possibilities of creating a completely new business platform, that would not otherwise have been possible.

08. december 2021 | Læs mere


Sådan styrker du din forsyningskæde gennem digitalisering

I dette webinar bygger CGI's eksperter bro mellem de overordnede, strategiske aspekter af den digitale værdikæde og mere konkret de nye muligheder, Intelligent Order Management til Microsoft Dynamics 365 FO byder på.

09. december 2021 | Læs mere