Apple har ifølge forskeren William Carrel unnlatt å rette opp et sikkerhetshull han hevder å ha gjort selskapet oppmerksom på allerede for to måneder siden. Carrel har derfor publisert detaljer om sikkerhetshullet på weben.
Les også:
- [23.12.2003] Apple tetter flere alvorlige sikkerhetshull
- [03.11.2003] Hvite flekker skjemmer ny PowerBook
- [06.10.2003] Apple gjør nytt forsøk på Mac OS X-oppdatering
- [03.04.2003] Sikkerhetshull i både RealPlayer og QuickTime
- Det ville være riktig av meg å la Mac-brukerne være uvitende i mer enn to måneder om et problem som er så stort, sier Carrel til ZDNet Australia.
Sikkerhullet det er snakk om utnytter svakheter i måten operativsystemet håndtere ondskapsfunne responser fra falske DHCP-servere. DHCP-servere er nettverksservere som tildeler IP-adresser til datamaskiner i et nettverk.
Suksessfull utnyttelse kan gjøre det mulig å "mounte" vilkårlige filer i brukernens system eller å legge til en priviligert brukerkonto, som deretter kan utnyttes å få tilgang til systemet via tjenester som tillater ekstern login, for eksempel SSH.
Informasjonen om sikkerhetshullet ble ifølge Carrel publisert hele 48 dager etter første gang han gjorde Apple oppmerksom på hullet.
Ifølge Carrel har Apple indikert at det vil utgi en sikkerhetsoppdatering som tetter hullet i løpet av desember.
I veiledningen anbefaler Carrel brukerne om å skru av alle tjenester for nettverksautorisasjon som mottar innstillinger fra DHCP via "Direct Access", eventuelt skru av DHCP i alle nettverksgrensesnittene.
Apple har etter det digi.no kjenner til, ikke kommentert dette sikkerhetshullet offentlig.
Carrels veiledning finner du på denne siden.
