Nieuws
image

Beveiliger bestraft Apple met Mac OS X-lek

donderdag 11 november 2010, 11:57 door Redactie, 6 reacties

Beveiligingsbedrijf Core Security heeft een ernstig lek in Mac OS X geopenbaard omdat Apple het lek niet op tijd patchte. De kwetsbaarheid bevindt zich alleen in Mac OS X 10.5 en laat een aanvaller systemen via een kwaadaadig PDF-bestand overnemen. Volgens Core Security zou Apple hebben beweerd dat het een patch klaar heef staan, maar zou Cupertino die ondanks herhaaldelijke beloften niet hebben uitgebracht.

"Apple heeft ons twee keer een publicatiedatum voor deze patch gegeven, maar de deadlines niet gehaald, zonder ons een waarschuwing of verklaring te geven", aldus de beveiliger. Het probleem bevindt zich in de Apple Type Services en zou niet in Mac OS X 10.6 aanwezig zijn. Mac-gebruikers krijgen daarom het advies naar deze versie te upgraden.

Reacties (6)
11-11-2010, 13:35 door Anoniem
Altijd zielig dit soort dingen. Het voelt altijd een beetje als een soort gijzeling. " we gaan dit openbaar maken als jij niet..." Heel kinderachtig allemaal.

Een lek is vervelend, maar de manier waarop er door alle partijen altijd mee omgegaan wordt is echt ZO kleuterachtig...
11-11-2010, 14:05 door SirDice
Door Anoniem: Altijd zielig dit soort dingen. Het voelt altijd een beetje als een soort gijzeling. " we gaan dit openbaar maken als jij niet..." Heel kinderachtig allemaal.

Een lek is vervelend, maar de manier waarop er door alle partijen altijd mee omgegaan wordt is echt ZO kleuterachtig...
Als jij een rekening niet betaalt krijg je toch ook een deurwaarder aan de deur?

Als er afspraken worden gemaakt door Apple wanneer een bepaalde patch uitkomt en men komt die afspraken, herhaaldelijk, zonder opgaaf van reden, niet na dan vind ik dat een dergelijke bug gewoon gepubliciteerd moet worden.
11-11-2010, 16:06 door [Account Verwijderd]
[Verwijderd]
11-11-2010, 16:15 door SirDice
Door Peter V:
Door Anoniem: Altijd zielig dit soort dingen. Het voelt altijd een beetje als een soort gijzeling. " we gaan dit openbaar maken als jij niet..."
Dat is geen gijzeling, maar afdreiging, ook wel chantage genoemd.
Ok. Gewoon alle gegevens over die bug direct publiceren dan? Of alle gegevens lekker voor je houden totdat de "bad guys" 'm vinden?

Wat mij betreft gaan we voor de eerste, full disclosure. Maar ja, dan krijg je, als security onderzoeker, gelijk de zwarte piet toegespeeld. Dus dan probeer je 't met "Responsible disclosure". Voor Apple is dat klaarblijkelijk ook niet goed want dan word je vervolgens gewoon genegeerd. Daar zit je dan, met een gapend gat en een leverancier die niet wil patchen.

Ik denk dat ik maar voor de "andere" kant ga werken. Daar worden dergelijke bevindingen tenminste op prijs gesteld en kun je er een leuke boterham aan verdienen.
12-11-2010, 09:46 door Mysterio
Het zou op z'n minst netjes zijn van Apple om, naast een bedankje, aan te geven bij de beste ontdekker, wanneer het probleem verholpen wordt. Dit motiveert mensen natuurlijk niet om hun bevindingen netjes te melden bij Apple.
12-11-2010, 14:32 door Anoniem
afdreiging is een vorm van chantage. Dus niet een 1 = 2 situatie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure