De fout in Mac OSX 10.3.9 is ontdekt door Pieter de Boer van cursusinstituut OS3, die tijdens een zoektocht naar bugs op de buffer overflow stuitte.

Apple heeft nu, anderhalve maand na de ontdekking van dit lek, een lapmiddel uitgebracht. Nu kan De Boer ook uitleg geven over zijn ontdekking.

"In dit geval was ik simpelweg op zoek naar bugs in MacOS X omdat we dat systeem draaien binnen ons 'lab' op school en ik eens wilde kijken hoever ik kon komen", vertelt Pieter de Boer tegenover Webwereld.

Pijnlijk

Het lek is pijnlijk omdat deze optreedt in de software van een vpn-server, die juist gebruikt wordt om de beveiliging van systemen te verhogen. Maar volgens De Boer moet de waarde ook niet overschat worden omdat een gebruiker toegang tot het systeem moet hebben om het lek te misbruiken.

"Ik denk dus dat het risico vrij beperkt is, maar lokale root exploitable bugs moet je altijd serieus nemen, omdat via andere wegen mensen toch best toegang kunnen krijgen tot een systeem."

Gemakkelijk

Het kostte De Boer overigens niet veel moeite om het probleem te ontdekken. Door te kijken naar de rechteninstelling van door Apple zelf gebouwde programmatuur, viel het vpn-programma al snel op. "Daarmee heb ik enkele minuten gespeeld en al gauw bleek dat die bug er in zat."

Overigens besteedt de expert geen aandacht aan software die Apple van het open-sourcesysteem FreeBSD heeft overgenomen 'omdat die zo langzamerhand aardig veilig zijn'.

Apple heeft een update uitgebracht voor dit probleem en nog negentien andere lekken.