Een kwetsbaarheid in de Apple browser Safari maakt het voor kwaadwillenden mogelijk om malware op Mac OS X te plaatsen. Dat geldt ook voor volledig gepatchte systemen.
Het Franse beveiligingsbedrijf VUPEN heeft een gat in Apples browser Safari ontdekt. Door dat gat kunnen kwaadwillenden achter de rug van de gebruiker om malware op systemen met Mac OS X plaatsen.
Geen admin-rechten
De kwetsbaarheid wordt veroorzaakt door een fout in de WebKit-engine van Safari. Tijdens het verwerken van een specifieke combinatie van HTML en JavaScript gaat het volgens de Fransen fout. Om de kwetsbaarheid uit te buiten hoeft de getroffen gebruiker geen speciale gebruikersrechten te hebben. Het bezoeken van een speciaal gemaakte pagina is voldoende.
Deze aanvalstechniek worden drive-by downloads genoemd. Op computers met Windows komt deze aanvalstechniek vaker voor, maar op Mac OS X is dit een unicum. De meeste malwarevarianten voor dit besturingssysteem moeten door de gebruiker zelf geïnstalleerd worden. Omdat een gebruiker daar een wachtwoord voor moet invoeren, wordt deze malware meestal verpakt in een onschuldig ogend bestand.
Browser crasht niet
VUPEN-ceo Chaouki Bekrar laat tegenover de website Security.nl weten dat zijn team een geraffineerde en stille expolit voor de kwetsbaarheid in Mac OS X heeft ontwikkeld. Deze exploit laat de browser van Apple na het installeren van de malware niet crashen. De exploit omzeilt bovendien alle beveiligingsmaatregelen die in Mac OS X zijn ingebouwd.
VUPEN zegt de exploit succesvol getest te hebben met Safari 5.0.5 op Mac OS X Snow Leopard 10.6.7, de nieuwste versie van het besturingssysteem. Zowel het OS als Safari waren volledig gepatcht, stelt het beveiligingsbedrijf. Ook oudere versies van het besturingssysteem lopen risico.
Apple niet ingelicht
Het beveiligingsbedrijf wil geen technische details over de hack openbaren. De Fransen gaan bovendien Apple niet inlichten, maar impliceren in een tweet dat de softwaremaker contact kan opnemen met de verkoopafdeling van VUPEN. Overheidsklanten worden wel ingelicht over de problemen.
Het is geen goede week voor de veiligheidsreputatie van Mac OS X. Het Deense beveiligingsbedrijf CSIS maakte begin deze week bekend dat de allereerste malwarekit voor Mac OS X opdook. Ook wordt scareware met de naam MACDefender inmiddels flink verspreid over het internet.