Apple heeft zoals aangekondigd een update voor Mac OS X uitgebracht die het vorige week onthulde SSL-lek verhelpt, alsmede 32 andere lekken. Via de lekken, die zich in verschillende onderdelen van het besturingssysteem bevinden, kon een aanvaller in het ergste geval willekeurige code uitvoeren.
Toch gaat de meeste aandacht uit naar het SSL-lek, waardoor het mogelijk was om versleuteld verkeer van Mac-gebruikers te onderscheppen zonder dat die een waarschuwing kregen. Het probleem zou bij Mavericks zijn geïntroduceerd. Ook iOS was kwetsbaar, maar de patch hiervoor verscheen vorige week al.
Zes van de 33 verholpen lekken werden door werknemers van Google ontdekt. Het gaat om kwetsbaarheden in Apple Type Services (ATS) waardoor de App sandbox omzeild kon worden. Verder ontdekte één van de Google-medewerkers een lek in QuickLook. Het openen van een kwaadaardig Word document maakte het mogelijk om willekeurige code uit te voeren. Naast QuickLook werden er ook zes kwetsbaarheden in QuickTime gepatcht.
Tevens zijn twee lekken in de videokaartdriver van chipfabrikant Nvidia verholpen. Via een kwaadaardige applicatie was het voor aanvallers mogelijk om kwaadaardige code in de videokaart uit te voeren. Een andere patch die opvalt is er één voor CVE-2011-3389. Dit lek werd in 2011 ontdekt en staat beter bekend als de BEAST-aanval.
Hierdoor was het voor aanvallers mogelijk om in bepaalde gevallen door SSL-beveiligde gegevens te onderscheppen en ontsleutelen. Apple heeft nu een oplossing aan Mac OS X Lion toegevoegd die gebruikers hier tegen beschermt. Mac OS X Mavericks 10.9.2 en Security Update 2014-001 voor andere versies van OS X zijn via de Mac App Store en Apple.com te downloaden.
Deze posting is gelocked. Reageren is niet meer mogelijk.