'OS X gevoelig door tien jaar oude lekken'
Gepubliceerd: Vrijdag 27 januari 2006
Auteur: Jeroen Doorn
Het besturingssysteem van Apple, OS X, is gevoelig voor bugs die al tien jaar bestaan. In andere besturingssystemen zijn deze lekken allang gedicht.
Dat stelt beveiligingsexpert Neil Archibald tegenover ZDNet Australië. "Het enige wat OS X veilig houdt is het lage marktaandeel van het besturingssysteem. Als dat verandert, komt het op het gebied van veiligheid een stuk slechter uit te zien voor OS X", stelt Archibald.
Volgens de expert gebruikt Apple geen programma's om de eigen code te checken in tegenstelling tot bijvoorbeeld Microsoft die in het kader van zijn Trustworthy Computing-iniatief veel van dergelijke instrumenten gebruikt. "Hierdoor blijven er een heleboel bugs aanwezig. Sommige van deze bugs zijn tien tot vijftien jaar geleden al opgelost in andere besturingssystemen", weet Archibald.
Als voorbeeld noemt de beveiligingsexpert de dsidentity-bug die Apple vorig jaar patchte. Volgens Archibald konden kwaadwillenden met deze bug zichzelf opwaarderen tot beheerder en andere beheerders kon uitschakelen en verwijderen.
Lachen
"Een bug als deze is met een snelle blik op de code al terug te vinden en een dergelijke fout is in andere besturingssystemen allang niet meer aanwezig. Toen wij met het beveiligingsteam van Apple spraken bleek dat ze nog nooit van deze bug hadden gehoord. Ze barstten vervolgens uit in lachen toen ze begrepen hoe simpel de bug bleek te zijn", vertelt de beveiligingsexpert.
Archibald noemt tevens een ander lek dat Apple onlangs dichtte in het deel van OS X dat geheugen toewijst. Door dit lek konden applicaties bestanden overschrijven en beheerdersrechten verwerven. Door een ander lek kunnen kwaadwillenden de pc overnemen. Archibald: "Dit lek is nog altijd aanwezig. Apple is wel bekend met het probleem".
Het nakijken van de code is niet het enige probleem volgens de expert. Het gaat ook om de wijze waarop Apple omspringt met beveiligingsexperts. "Mijn ervaring, en die van collega's uit het veld, is dat Apple erg traag reageert wanneer het op lekken gewezen wordt. Het bedrijf verwacht dat ontdekkers van lekken tot in de oneindigheid wachten om lekken naar buiten te brengen."
Intel en PPC
"Gedurende de korte tijd dat wij OS X hebben doorgelicht hebben we veel van dit soort bugs gevonden. Deze bestaan in de standaardinstallatie van het besturingssysteem, zowel op de Intel- als de PPC-architectuur", stelt Archibald.
Een woordvoerder wil tegenover ZDNet Australië niet inhoudelijk reageren op de beweringen van de beveiligingsexpert. "We geven geen commentaar op wat andere mensen zeggen over OS X. Op onze website is veel informatie terug te vinden en we hebben veel gedaan om van OS X een veilig en stabiel platform te maken."
