Google maakt ongepatcht zero-daylek in macOS publiek

Het Project Zero-team van Google heeft een zero-daylek in macOS publiek gemaakt, nadat Apple er niet in is geslaagd om de kwetsbaarheid binnen de vooropgestelde termijn te patchen.

Apple werd in november vorig jaar door Project Zero op de hoogte gebracht van het lek, dat door de onderzoekers als ‘zeer ernstig’ wordt aangeduid. De bug zit in het copy-on-write-systeem (COW) voor resourcebeheer in de XNU-kernel van Apple en wordt technisch beschreven in een post op de Chromium-bugtracker.

De securityonderzoekers van Google ontdekten dat als een gemount bestandssysteemimage in macOS wordt aangepast, het virtuele beheersysteem niet op de hoogte wordt gesteld van die wijzigingen. Dat betekent dat een aanvaller in theorie zichzelf onopgemerkt toegang kan verschaffen, zonder dat de gebruiker het merkt voor het te laat is.

Het team maakte een proof-of-concept beschikbaar om het probleem te illustreren.

90 dagen zonder patch

Apple heeft de bug erkend en werkt aan een oplossing. Die is voorlopig nog niet klaar en zal deel uitmaken van een toekomstige update voor het besturingssysteem. Ondertussen is Project Zero’s standaard openbaringsperiode van negentig dagen evenwel verlopen en werd de bug zonder patch publiek gemaakt.

Google houdt streng vast aan zijn deadline van negentig dagen, ook al heeft dat al meermaals geleid tot het publiceren van kwetsbaarheden zonder patch voorhanden. Het idee is dat vendoren onder druk worden gezet om snel met een oplossing te komen, voor de bugs breed kunnen worden geadopteerd door aanvallers.