Apple patched zero-day kwetsbaarheden nog steeds pas maanden na ontdekking

Als je in de software wereld zit dan is er min of meer een gouden regel, als je kwetsbaarheden aantreft in andermans software dan stel je de ontwikkelaar op de hoogte. Dat doet Google ook en ze hebben daar zelfs een speciale afdeling voor. Zo publiceerde Google onlangs weer drie beveiligingsproblemen in OS X die nog niet allemaal door Apple zijn gepatcht via een update.

Google heeft een proof of concept online gezet waarmee kwaadwillenden een beveiligingsprobleem in OS X Yosemite kunnen misbruiken en zelfs root-toegang kunnen krijgen. Het valt allemaal onder de project zero-campagne van Google waarmee ze bedrijven willen dwingen om beveiligingsproblemen binnen 90 dagen te patchen.

In het team van Google zitten gerenommeerde hackers zoals George Hotz die de eerste iPhone in 2007 wist te kraken. Hij verwijderde via software de AT&T simlock zodat de iPhone ineens op alle netwerken te gebruiken was. Het is overigens niet voor het eerst dat Google dit soort gaten in de OS X software openbaar maakt. Daarbij had Apple voor publicatie al 3 maanden de tijd om de “zero-day” kwetsbaarheden te dichten en het is op zijn minst slordig van Apple dat, dat nog niet is gedaan en dat is ook niet voor het eerst.

Hacker, Kristin Paget liet vorig jaar weten dat Apple zeer slordig omgaat met kritieke beveiligingsupdates voor iOS en OS X. Zij kan het weten want ze heeft voor Apple gewerkt. Iets wat je niet leest op andere Apple blogs maar wel een feit is.
osx