Computerworld News Service: Sikkerhedseksperter advarer i denne uge om, at Apples OS X kører med en kritisk sårbarhed, som kriminelle kan bruge til at overtage maskiner med den ældre Leopard-version af styresystemet.
Selv om Leopard blev udskiftet med den nye Snow Leopard for mere end et år siden, så findes den gamle version stadig på omkring en tredjedel af alle Mac OS X-maskiner.
Fejlen er en variant af den sårbarhed, som Apple rettede sidste august i iOS. Fejlen blev brugt til at "jailbreake" enheder med iOS (altså til at åbne enheden - for eksempel en iPhone - for modifikationer og udefrakommende applikationer, red.), og kunne desuden misbruges til at plante malware eller overtage kontrollen af den berørte iPhone, iPad eller iPod Touch.
Ifølge Core Security Technologies, som udsendte en advisory mandag, har Apple allerede en rettelse på vej.
Alligevel har Core nu udsendt en advarsel sammen med en forklaring.
"Vi er normalt meget fleksible, og vi ændrer gerne datoen [for udsendelsen af en advisory], hvis leverandøren demonstrerer, at de er i fuld gang med en rettelse," siger Pedro Varangot, som er reseacher hos CoreLabs, der er Cores afdeling for forskning og udvikling.
"Vi udsender advarslen nu, efter Apple har sagt, at rettelsen er klar, fordi virksomheden to gange har sagt til os, at den ville blive udsendt, men derefter har overskredet deres egne deadlines," forklarer han.
Ifølge Core fortalte sikkerhedsfirmaet Apple om sårbarheden 26. august, eller to uger efter Apples rettelse af samme fejl i iOS. Først sagde Apple, at der ville blive udsendt en rettelse 25. oktober, og da virksomheden alligevel ikke kunne nå den deadline, blev den udskudt til 3. november.
"Vi har givet dem rigeligt med tid," siger Pedro Varangot og tilføjer, at Core sendte Apple en sidste advarsel per e-mail i sidste uge og fortalte, at sikkerhedsfirmaet havde planer om at udsende en advisory mandag. Core fik aldrig svar fra Apples sikkerhedshold.
Sårbarheden har at gøre med Apples håndtering af CFF (compact font format)-fonte, og den påvirker Mac OS X 10.5, bedre kendt som Leopard.
Snow Leopard går fri
Mac OS X 10.6, som også går under navnet Snow Leopard, er ikke sårbar over for fejlen, forklarer Pedro Varangot. Det har Apple også bekræftet over for Core, fortæller han.
"Apple har foretaget nogle ændringer i FreeType-biblioteket i 10.6, som gør at fejlen ikke findes i den nye version," forklarer Pedro Varangot.
Forbindelsen til jailbreak-buggen i iOS er en vigtig grund til, at Core har været så hurtigt ude med advarslen.
Selv om Pedro Varangot fortæller, at den angrebskode, som blev udsendt i sommers til iOS 4 ikke vil virke med Mac OS X 10.5, så frygter Core, at der alligevel er offentliggjort nok oplysninger til, at kriminelle også kan have fundet fejlen i Leopard og skabt angrebskode til den.
"Andre kan allerede have fundet fejlen og udnyttet den til målrettede angreb," bemærker Pedro Varangot. "Jailbreakme-hacket fik en del opmærksomhed i pressen, og mange researchere har været inde og se nærmere på det. Det vil ikke overraske mig, hvis nogen har fundet fejlen [i Mac OS X]."
For tre måneder siden spekulerede andre forskere på, om Mac OS X kunne indeholde samme fejl som den, hjemmesiden Jailbreakme.com brugte til at hacke iPhones med.
"Apple patcher ikke OS X. Er den ikke sårbar eller er virksomheden kun interesseret i at stoppe jailbreaking?" spurgte Charlie Miller på Twitter, da Apple havde rettet fejlen i iOS 4 den 11. august.
Charlie Miller giver også sit besyv med nu. "Det er et klassisk forløb for Apples research-kommunikation og grunden til, at researcherne ikke gider besværet," skriver han på Twitter med henvisning til Cores advisory.
Anibal Sacco, som er en af de to researchere fra Core, der opdagede sårbarheden, hentyder også til de forhindringer, som researchere nogle gange oplever i samarbejdet med Apple, i sit blogindlæg om sagen.
"Apple kan godt lide at fastsætte en dato, som ikke bliver overholdt, og hvis jeg skal være helt ærlig, så ligner det lidt en magtdemonstration fra virksomhedens side," skrev Anibal Sacco på sin personlige blog tirsdag.
Anibal Sacco er manager for Cores OS X platform-udvikling.
Forskellige Apple-blogs, blandt andet Tuaw.com, mener, at Apple sandsynligvis vil opdatere Mac OS X, og heriblandt Leopard, meget snart.
Pedro Varangot håber, at det er rigtigt. "Nu har Apple misset sin egen deadline [for en rettelse] to gange, så jeg håber, at de snart får udgivet den," siger han.
Oversat af Marie Dyekjær Eriksen
