Google’s Project Zero publiceert drie zero-day lekken in Mac OS X

Abonneer je gratis op Techzine!

Google’s Project Zero, het team dat onderzoek doet naar beveiligingslekken in commerciële software heeft zojuist drie lekken gepubliceerd in Apple’s Mac OS X. Het gaat om zogenaamde zero day-lekken, lekken die nog niet eerder bekend zijn gemaakt. Een van de drie lekken is al door Apple gedicht, de andere twee lijken nog open te staan.

De drie lekken die vandaag door Google’s Project Zero zijn gepubliceerd zijn in oktober van vorig jaar al aan Apple gemeld. Apple lijkt een van de drie lekken ook al gedicht te hebben in Mac OS X Yosemite, maar de twee andere staan voor zover bekend nog open. Google hanteert sinds kort echter het beleid dat het alle gevonden lekken 90 dagen na het melden aan de ontwikkelaar gaat publiceren. Het bedrijf hoopt hiermee de ontwikkelaars te dwingen actiever hun code bij te houden en lekken tijdig te dichten.

Uiteindelijk kunnen lekken in besturingssystemen zoals Mac OS X en Windows ervoor zorgen dat bedrijven worden gehackt en gevoelige bedrijfsgeheimen worden buitgemaakt, iets waar Google ook last van heeft. Deze keer heeft Google lekken van Apple gepubliceerd, dat bedrijf heeft nog niet gereageerd op de publicatie van Google. Eerder publiceerde Google al lekken in Windows waarna het kon rekenen op forse kritiek van Microsoft. Google publiceerde de informatie namelijk twee dagen voor patch tuesday, op die dag verspreidt Microsoft patches voor beveiligingslekken, waaronder degene waar Google toen over publiceerden.

Ook Apple zal ongetwijfeld niet blij zijn met de publicatie, maar wordt nu wel gedwongen om sneller actie te ondernemen. Hoewel de beveiligingslekken natuurlijk niet zo best zijn, kunnen ze niet op afstand worden misbruikt, een hacker heeft fysiek toegang nodig tot het systeem. Wel kan het lek worden misbruikt als een hacker al extern toegang heeft tot het systeem, maar daarvoor moet het dan een ander beveiligingslek misbruiken.