Weer heeft een beveiligingsbedrijf uitgehaald naar de manier waarop Apple met security en problemen in de eigen software omgaat. Core Security ontdekte een kwetsbaarheid in de sandbox-beveiliging van Mac OS X, waardoor een kwaadaardige applicatie toch netwerktoegang kan krijgen. Het probleem wordt veroorzaakt door de gedefinieerde sandbox-profielen, die niet alle beschikbare middelen afschermen, waardoor de beperkte functionaliteit van de sandbox te omzeilen is.
De kwetsbaarheid lijkt op een lek dat Mac-hacker Charlie Miller in 2008 ontdekte en rapporteerde. Apple besloot toen het profiel aan te passen, zodat de aanval van Miller niet meer werkte. In het geval van Core Security besloot het bedrijf dit niet te doen. Daarnaast verliep ook de communicatie met Apple zeer moeizaam, aldus het beveiligingsbedrijf.
Reactie
Het lek werd op 20 september ontdekt. Twee weken later liet Apple weten dat het niet de "security-gevolgen" zag. Een week later reageerde Core Security dat een aanvaller wel degelijk de beperking kan omzeilen. Vervolgens meldde Apple op 18 oktober dat het mogelijk de documentatie over de Sandbox-profielen zou aanpassen. Vorige week besloot Core Security uiteindelijk de advisory uit te geven, zonder dat er een oplossing van Apple voorhanden is.
Vorige week kwam Apple ook al negatief in het nieuws, omdat het Miller uit het ontwikkelaarsprogramma had gezet. De beveiligingsonderzoeker had een manier ontdekt om kwaadaardige apps in de Apple Store te plaatsen. Dat lek is inmiddels door Apple gepatcht. Toch hekelen veel beveiligingsexperts de houding van 'Cupertino' als het om security en de samenwerking met onderzoekers gaat.
Deze posting is gelocked. Reageren is niet meer mogelijk.