0-day in macOS geopenbaard door Google

5 maart 2019

Google onthult een beveiligingsgat dat security-onderzoekers van het bedrijf hebben ontdekt in macOS. De gatenjagers van Google's Project Zero hebben deze kwetsbaarheid eerst gemeld bij Apple en daarbij een deadline gesteld voor het fixen hiervan. Die termijn is nu verstreken waardoor Project Zero nu de privilege escalation bug openbaart, compleet met werkende exploitcode.

Google spoort met zijn Project Zero-team kwetsbaarheden op in veelgebruikte software, om die te melden bij de ontwikkelaars ervan zodat die hun producten veiliger kunnen maken. Daarbij hanteren de security-onderzoekers een strikte deadline van 90 dagen voor openbaarmaking. Na verloop van die termijn, of zodra er een patch is, wordt informatie over deze 0-day kwetsbaarheden onthuld aan het grote publiek.

Responsible disclosure-discussie
 
Dit dient enerzijds om softwareleveranciers onder druk te zetten voor het fixen van hun code, en anderzijds om beheerders plus gebruikers te informeren zodat er eventuele tegenmaatregelen zijn te nemen. De redenatie is dat cybercriminelen ook dergelijke kwetbaarheden kunnen ontdekken, en dan stil houden om zelf te kunnen benutten. Over dit strikte bugbeleid van Google is eerder al ophef geweest, inclusief aanvaringen met onder meer Microsoft.

Ditmaal is Apple 'aan de beurt': in de kernel van zijn computerbesturingssysteem macOS is een kwetsbaarheid ontdekt die kwaadwillenden meer rechten kunnen geven op een Mac. Daarvoor moet zo'n aanvaller wel eerst lokale rechten hebben op een Apple-computer, wat de ernst van deze kwetsbaarheid inperkt. Gecombineerd met een remote-misbruikbare kwetsbaarheid in bijvoorbeeld een applicatie valt er echter wel op afstand te hacken. Google heeft zijn bekendmaking van de kernelbug compleet met proof-of-concept code gedaan.