image

Apple patcht stilletjes lek in Yosemite, laat oude versies zitten

vrijdag 31 oktober 2014, 11:34 door Redactie, 1 reacties

Apple heeft stilletjes een lek in Yosemite gepatcht zonder de update voor Mac OS X Mavericks beschikbaar te maken, zo blijkt uit onderzoek van beveiligingsonderzoekers. Via de kwetsbaarheid in de IOBluetoothFamily kernel-extensie kan een lokale aanvaller zijn rechten op het systeem verhogen.

Het lek is aanwezig in OS X Mavericks (10.9.4 en 10.9.5), maar is "stilletjes" gepatcht door Apple in OS X Yosemite, aldus Roberto Paleari en Aristide Fattori. De onderzoekers vergeleken de code van OS X 10.9.x (Mavericks) en 10.10 Yosemite en ontdekten dat Apple het probleem had verholpen, zonder dit in de release notes te melden. Op 20 oktober vroegen de onderzoekers aan Apple of het van plan was de update ook onder gebruikers van Mavericks uit te rollen, maar kregen geen reactie en besloten daarom gisteren de details van het lek openbaar te maken.

"Yosemite is al enige tijd gratis beschikbaar voor Apple-klanten, dus we denken niet dat het openbaar maken van dit lek een gevaar voor eindgebruikers vormt." Na de openbaarmaking kregen de onderzoekers wel een reactie van Apple. Daarin werd bevestigd dat het lek inderdaad in Yosemite was gepatcht en er nog werd overwogen om het probleem ook in oudere OS X-versies op te lossen.

Volgens een beveiligingsonderzoeker met het alias 'osxreverser' is de werkwijze van Apple geen verrassing en komt het vaker voor dat het bedrijf lekken en bugs in de nieuwste OS X-versie patcht en in oudere versies laat zitten. Daarom heeft de onderzoeker zelf een patch voor Mavericks-gebruikers gemaakt die men op eigen risico kan installeren.

Reacties (1)
31-10-2014, 15:58 door Anoniem
unresponsible disclosure, en nu dus bij Apple unresponsible patching...
als Apple lekken alleen fixt in de meest recente versie die vol privacygaten zit, waarom zouden we nog apple helpen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.