Een enorme blunder in de code van iOS en OS X waardoor SSL-certificaten niet worden gecontroleerd maar automatisch toegelaten, raakt talloze andere functies en software van derden. Voor iOS is er inmiddels een patch en Apple belooft ' zo snel mogelijk' ook OS X te fixen.

Tot die tijd is het oppassen voor man-in-the-middle aanvallen die met valse certificaten versleuteld verkeer kunnen onderscheppen en uitlezen. Ideaal ook voor geheime diensten als de NSA, er wordt dan ook gespeculeerd dat dit een backdoor is die iemand de code van iOS en OS X heeft ingefietst.

Patch komt via kwetsbare Updater

Omdat het lek werkt op OS-niveau is niet alleen de Safari-browser kwetsbaar, maar ook talloze andere softwarepakketten die van de SSL-stack gebruikt maken. Ironisch genoeg is dat ook Apple's eigen update, waarmee de hoognodige patch moet worden binnen gehaald. Maar ook de Mail- en Kalender-, Facetime, Keynote-apps zijn kwetsbaar, evenals third party software zoals Twitter, meldt Forbes op basis van onderzoek van security-expert Ashkan Soltani. Ook VPN-clients zijn niet immuun, afhankelijk van welke library ze gebruiken.

In elk geval Mavericks is getroffen, oudere OS X-versies niet, naar het zich laat aanzien. Chrome securitychef Adam Langley schreef een gedetailleerde blogpost over het 'goto fail' lek.