OS X krijgt patch voor twee maanden oud gat
Gepubliceerd: Woensdag 13 mei 2009
Auteur: Michiel van Blommestein
Naast Microsoft heeft ook Apple gisteravond security-updates vrijgegeven. Het bijna twee maanden oude 'Pwn2own'-gat in Mac OS X is daarmee gedicht.
Apple heeft de lekken aangepakt met de nieuwe versie 10.5.7 van Mac OS X Leopard. Gebruikers van de voorgaande OS X-versie Tiger kunnen patchen met Security Update 2009-002. In totaal zijn 67 lekken gedicht, verdeeld over 46 patches. Daarmee is dit de grootste patch sinds begin vorig jaar, toen Apple 96 kwetsbaarheden verhielp.
Op de lijst van gedichte gaten staan vooral veel implementaties van open source componenten, zoals Apache en de Webkit rendering engine die in Safari is toegepast. De nieuwe update dicht ook drie gaten in Flash, waarvoor Adobe een patch in februari ter beschikking heeft gesteld. Zesentwintig kwetsbaarheden maken uitvoer van willekeurige code mogelijk. Apple gebruikt geen classicifatiesysteem voor het indelen van security-dreigingen.
Hackwedstrijd
Met de verzameling patches zijn nu ook de zogeheten Pwn2own-kwetsbaarheden gedicht. Daarmee won een hacker bijna twee maanden geleden 5000 dollar en een MacBook tijdens de Pwn2own-wedstrijd op security-bijeenkomst CanSecWest. De kwetsbaarheid zat in Apple Type Services, waardoor de hacker binnen 10 seconden binnen was op het doelsysteem.
Tijdens dezelfde wedstrijd ging later ook Webkit eraan, maar ook dat probleem is verholpen. Voor Safari heeft Apple een aparte patch uitgegeven. De reguliere versie komt op 3.2.3, terwijl dezelfde lekken ook zijn aangepakt in de publieke bèta van Safari 4.
Bron: Techworld.
