Dat ontdekte David van Enckevort, Unix-expert bij Netco Security bij het analyseren van de programmatuur voor Mac OS X. Hij stelde op verzoek van Webwereld een lijst van pakketten samen voor zowel het nieuwe Snow Leopard als Leopard met programmatuur.

Voor de programmatuur hebben de makers van de software al een lapmiddel geschreven, maar is dat door Apple nog niet beschikbaar gemaakt voor de eigen klanten. Tussen de problemen zitten lekken, die al in 2007 publiek werden gemaakt.

Beveiligingsoftware

Het meest opvallend zijn de openstaande problemen in Mac OS X Leopard. Zo blijkt ook de beveiligingssoftware SSL voor de webserver Apache, OpenSSL en OpenSSH kwetsbaar voor lekken. Verder zijn er problemen in de programmeertalen PHP, Perl, Ruby en Python, de webserver Apache en de OpenLDAP-directory nog niet verholpen.

Het bedrijf heeft bij Snow Leopard wel een inhaalslag gemaakt en heeft in ieder geval de meest kritieke lekken gedicht. Maar ook hier zijn Apache en de programmeertalen Perl en Ruby nog onvoldoende gepatcht. Tijdens het onderzoek kwam een massale update van Apple uit, waardoor lekken in de programmeertaal PHP en de ondersteuning voor Microsoft-bestanden wel werden gedicht.

Geen reactie

Webwereld heeft de problemen ruim een week geleden onder de aandacht van Apple gebracht. Een woordvoerder wil niet inhoudelijk reageren, maar laat weten dat de problemen wel intern zijn doorgestuurd. Hij bedankt wel voor het onderzoek.

Voor van Enckevort blijft de zaak erg vreemd. "Het is duidelijk dat beveiliging bij Apple ondergeschikt is. De problemen liggen voor het oprapen voor iedereen die ook maar enigzins bekend is met de gebruikte open source software", verzucht hij. "De eerste twintig niet gepatchte problemen had ik binnen een paar uur gevonden. Is er dan niemand binnen Apple die dat regelmatig kan doen?"

Er is al langer kritiek op het patchbeleid van Apple. Zo is het vaak niet duidelijk, wanneer updates beschikbaar komen en laat het bedrijf het aan de klanten over om te bepalen welke update kritiek is en welke niet. Begin september kwamen er op drie opeenvolgende dagen updates beschikbaar, terwijl steeds meer bedrijven ervoor kiezen om noodverbanden op vaste dagen beschikbaar te maken.