user_mobilelogo

Apple heeft een ernstig beveiligingsprobleem in OS X Mavericks gedicht. Het probleem maakte het mogelijk om de inhoud van https-verkeer te achterhalen. IOS was ook kwetsbaar, maar werd afgelopen zaterdag al gepatcht.

De update waarin het probleem wordt opgelost is inmiddels te downloaden, hoewel Apple in het update-scherm niet aangeeft dat de patch erin is opgenomen. Wel is in een uitgebreider overzicht van de in de update gepatchte beveiligingsproblemen te vinden dat het probleem is opgelost. Dat Apple het probleem relatief stilletjes dicht, is opmerkelijk, omdat het om een relatief ernstig beveiligingsprobleem gaat.

De bug liet kwaadwillenden met beheerdersrechten op het netwerk namelijk een zogenoemde man in the middle-aanval uitvoeren, waarbij het netwerkverkeer kan worden onderschept. Bij http-verkeer is dat sowieso al mogelijk, omdat het verkeer niet wordt versleuteld, maar https is juist bedoeld om vertrouwelijk te communiceren over kanalen die niet per se vertrouwd zijn.

Het beveiligingsprobleem werd veroorzaakt doordat de tekst 'goto fail' twee keer werd geplaatst, waar dat maar één keer had gemoeten. Daardoor werd een server waarbij de code eigenlijk alarm had moeten slaan, alsnog vertrouwd. Volgens sommigen is de bug bewust in de code geplaatst, en gaat het om een backdoor; Apple heeft nog niet op die aantijging gereageerd.

De bug deed zich niet alleen voor in OS X, maar ook in iOS; dat besturingssysteem werd afgelopen weekend al gepatcht. Andere versies van OS X zijn niet kwetsbaar.

bron: tweakers.net