Apple zou begin deze maand al gaten hebben gedicht in Safari voor OS X die pas afgelopen week werden gepatcht in iOS 7.1.1, zegt beveiligingsonderzoeker Kristin Paget, die eind januari haar toenmalige werkgever Apple verliet voor Tesla Motors, in een blogbericht.

Gaten in WebKit oorzaak problemen

De kwetsbaarheden die Apple patchte in Safari voor OS X begin april waren veelal dezelfde die verholpen zijn met de update van deze week, iOS 7.1.1. Dat komt omdat de gaten te maken hadden met WebKit, de rendering engine die Appkle gebruikt in zowel iOS als Safari, alsook in andere applicaties die op OS X draaien. De meeste van die gaten zijn gevonden door leden van het beveiligingsteam van Google Chrome, meldt de IDG News Service, de internationale persdienst waarbij Webwereld is aangesloten.

Paget fulmineert vooral tegen de achteloosheid waarmee Apple zijn mobiele gebruikers drie weken lang laat zitten met kwetsbaarheden die volledig openbaar zijn geworden nadat het OS X had gepatcht. "In welke wereld is dit acceptabel?", blogt Paget. "Blijkbaar moet iemand bij Apple strafregels schrijven: Ik zal iOS niet gebruiken om zerodays op OS X te laten afvuren, noch OS X voor zerodays op iOS."

Apple standaard drie maanden later dan Google

Aanvallers kunnen uit patches opmaken wat voor gaten er blijkbaar zijn gedicht en kunnen zo een expoit schrijven op die kwetsbaarheden in de hoop dat ze gebruikers aantreffen die de patch nog niet hebben geïnstalleerd, zegt onderzoeker Carsten Eiram van Risk Based Security. Volgens hem komen die patchvertragingen bij Apple vaker voor, zeker als het gaat om WebKit.

"We zien al eerder dat Google de kwetsbaarheden in WebKit direct repareert in Chrome, terwijl het bij Apple veel langer duurt. Gemiddeld is Apple zelfs drie maanden later, soms duurt het veel langer."