OS X 10.10.3 olisi pitänyt ratkaista mm. erittäin vaarallinen haavoittuvuus RootPipe, jonka avulla hakkerit voivat saada järjestelmänvalvojan pääsyn käyttäjien Maceihin ja hallita niitä ilman myöhempää todennusta, mutta paikallinen pääsy Maciin vaaditaan koko toimintoa varten.
vaikka OS X 10.10.3 piti ratkaista ongelma, NSA:n entinen työntekijä osoittaa yllä olevalla videolla, että se pysyy aktiivisena niiden käyttöjärjestelmässä. omena, kaikki mitä näemme tietoturvatutkija on vahvistanut sen, joten ongelman olemassaolosta ei ole epäilystäkään.
Palattuani Infiltrate-esityksestä (mahtava konferenssi btw) löysin uuden, mutta triviaalin tavan kaikille paikallisille käyttäjille käyttää rootpipeä uudelleen – jopa täysin korjatussa OS X 10.10.3 -järjestelmässä. Vastuullisen paljastamisen hengessä (tällä hetkellä) en anna hyökkäyksen teknisiä yksityiskohtia (paitsi tietysti Applelle). Minusta kuitenkin tuntui, että sillä välin OS X -käyttäjien pitäisi olla tietoisia riskeistä.
NSA:n entinen työntekijä väittää, että hän käyttää menetelmää välttääkseen Applen tekemän ratkaisun olemassa olevaan haavoittuvuuteen. OS X 10.10.3, tietokoneturvallisuuden tutkija totesi OS X:n päivityksen julkaisupäivänä, että Apple-yhtiön tekemä muutos voidaan kiertää eri tavoin.
NSA:n entinen työntekijä väittää olleensa lähellä Apple-yhtiön Apple Storen haavoittuvuuden osoittamista, mutta sen sijaan hän lähetti kaikki tiedot tästä tietoturvaongelmasta amerikkalaiselle yritykselle, joten luultavasti OS X 10.10.4 amerikkalaiset ratkaisevat sen lopullisesti.
Ottaen huomioon, että tänään sain tietää erittäin vakava haavoittuvuus, joka on olemassa yli 1500 App Storen sovelluksessa, RootPipeä koskevat tiedot eivät todellakaan aseta Apple-yhtiötä hyvään valoon, vaikka sovellusten tapauksessa vika ei ole Cupertinossa, vaan kehittäjissä.
