Lek sluimerde vier jaar lang in Mac OS X
Het lek is aan Apple gemeld door Razvan Musaloiu-E. Hij ontdekte bij toeval dat het mogelijk was 8 bytes binnen te smokkelen in het kernelgeheugen via commando’s die de omvang van een venster bepalen. Hoe hij daarbij te werk ging, is te lezen op zijn blog.
Shutterstock
Shutterstock
Apple maakte aanvankelijk niet veel haast met het dichten van het lek, hoewel de methode van inbraak volgens Razvan al medio vorig jaar een ruimere bekendheid kreeg. Waarschijnlijk oordeelde Apple dat de aanvankelijke inbraakmethode te omslachtig was. Want nadat Ravzan een handzamere methode demonstreerde, die eventueel ook via Twitter verspreid zou kunnen worden, kwam Apple in actie.
Apple zelf meldt bij de patch, die in de CVE-database nummer 2009-1235 heeft gekregen, dat deze alleen is bedoeld voor versies 10.5 en nieuwer. Volgens Ravzan is dat niet correct. Hij heeft ook oudere versies getest, en ontdekt dat ook de Tiger-versie, Mac OS X 10.4, kwetsbaar is voor ‘zijn’ inbraakmethode. Die variant werd op 29 april 2005 gepubliceerd. Dat betekent dat Mac OS X 1599 dagen, oftewel vier jaar en 3 maanden, kwetsbaar was op dit punt, constateert Razvan.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee