Artikel top billede

Forskere slår alarm over kritisk fejl i Mac OS X

Apple har to gange overskredet deadline for rettelser, og Core Security udsender nu en advarsel.

Computerworld News Service: Sikkerhedseksperter advarer i denne uge om, at Apples OS X kører med en kritisk sårbarhed, som kriminelle kan bruge til at overtage maskiner med den ældre Leopard-version af styresystemet.
 
Selv om Leopard blev udskiftet med den nye Snow Leopard for mere end et år siden, så findes den gamle version stadig på omkring en tredjedel af alle Mac OS X-maskiner.
 
Fejlen er en variant af den sårbarhed, som Apple rettede sidste august i iOS. Fejlen blev brugt til at "jailbreake" enheder med iOS (altså til at åbne enheden - for eksempel en iPhone - for modifikationer og udefrakommende applikationer, red.), og kunne desuden misbruges til at plante malware eller overtage kontrollen af den berørte iPhone, iPad eller iPod Touch.
 
Ifølge Core Security Technologies, som udsendte en advisory mandag, har Apple allerede en rettelse på vej.
 
Alligevel har Core nu udsendt en advarsel sammen med en forklaring.
 
"Vi er normalt meget fleksible, og vi ændrer gerne datoen [for udsendelsen af en advisory], hvis leverandøren demonstrerer, at de er i fuld gang med en rettelse," siger Pedro Varangot, som er reseacher hos CoreLabs, der er Cores afdeling for forskning og udvikling.
 
"Vi udsender advarslen nu, efter Apple har sagt, at rettelsen er klar, fordi virksomheden to gange har sagt til os, at den ville blive udsendt, men derefter har overskredet deres egne deadlines," forklarer han.
 
Ifølge Core fortalte sikkerhedsfirmaet Apple om sårbarheden 26. august, eller to uger efter Apples rettelse af samme fejl i iOS. Først sagde Apple, at der ville blive udsendt en rettelse 25. oktober, og da virksomheden alligevel ikke kunne nå den deadline, blev den udskudt til 3. november.
 
"Vi har givet dem rigeligt med tid," siger Pedro Varangot og tilføjer, at Core sendte Apple en sidste advarsel per e-mail i sidste uge og fortalte, at sikkerhedsfirmaet havde planer om at udsende en advisory mandag. Core fik aldrig svar fra Apples sikkerhedshold.
 
Sårbarheden har at gøre med Apples håndtering af CFF (compact font format)-fonte, og den påvirker Mac OS X 10.5, bedre kendt som Leopard.

Snow Leopard går fri

Mac OS X 10.6, som også går under navnet Snow Leopard, er ikke sårbar over for fejlen, forklarer Pedro Varangot. Det har Apple også bekræftet over for Core, fortæller han.
 
"Apple har foretaget nogle ændringer i FreeType-biblioteket i 10.6, som gør at fejlen ikke findes i den nye version," forklarer Pedro Varangot.
 
Forbindelsen til jailbreak-buggen i iOS er en vigtig grund til, at Core har været så hurtigt ude med advarslen.

Selv om Pedro Varangot fortæller, at den angrebskode, som blev udsendt i sommers til iOS 4 ikke vil virke med Mac OS X 10.5, så frygter Core, at der alligevel er offentliggjort nok oplysninger til, at kriminelle også kan have fundet fejlen i Leopard og skabt angrebskode til den.
 
"Andre kan allerede have fundet fejlen og udnyttet den til målrettede angreb," bemærker Pedro Varangot. "Jailbreakme-hacket fik en del opmærksomhed i pressen, og mange researchere har været inde og se nærmere på det. Det vil ikke overraske mig, hvis nogen har fundet fejlen [i Mac OS X]."
 
For tre måneder siden spekulerede andre forskere på, om Mac OS X kunne indeholde samme fejl som den, hjemmesiden Jailbreakme.com brugte til at hacke iPhones med.

"Apple patcher ikke OS X. Er den ikke sårbar eller er virksomheden kun interesseret i at stoppe jailbreaking?" spurgte Charlie Miller på Twitter, da Apple havde rettet fejlen i iOS 4 den 11. august.
 
Charlie Miller giver også sit besyv med nu. "Det er et klassisk forløb for Apples research-kommunikation og grunden til, at researcherne ikke gider besværet," skriver han på Twitter med henvisning til Cores advisory.
 
Anibal Sacco, som er en af de to researchere fra Core, der opdagede sårbarheden, hentyder også til de forhindringer, som researchere nogle gange oplever i samarbejdet med Apple, i sit blogindlæg om sagen.
 
"Apple kan godt lide at fastsætte en dato, som ikke bliver overholdt, og hvis jeg skal være helt ærlig, så ligner det lidt en magtdemonstration fra virksomhedens side," skrev Anibal Sacco på sin personlige blog tirsdag.
 
Anibal Sacco er manager for Cores OS X platform-udvikling.
 
Forskellige Apple-blogs, blandt andet Tuaw.com, mener, at Apple sandsynligvis vil opdatere Mac OS X, og heriblandt Leopard, meget snart.
 
Pedro Varangot håber, at det er rigtigt. "Nu har Apple misset sin egen deadline [for en rettelse] to gange, så jeg håber, at de snart får udgivet den," siger han.
 
Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere