Ik vertelde je een paar weken geleden dat Charlie Miller, een beroemde IT-beveiligingsexpert, tijdens de Pwn2Own-wedstrijd erin slaagde de iPhone 4 te exploiteren met een exploit gevonden in de Safari-browser. Dezelfde Safari-browser, maar dan de desktopversie, a permis een hacker die in dezelfde wedstrijd in slechts enkele seconden het Mac OS X-besturingssysteem kan misbruiken. Mac OS X 10.6.7 is sinds gisteren verkrijgbaar en lost maar liefst 56 kwetsbaarheden van het besturingssysteem en gerelateerde applicaties op, waaronder bugs in Safari plus nog een bug die Charlie Miller niet kon laten zien op Pwn2Own.
Verschillende in die klasse bevonden zich in Apple Type Services (ATS), de lettertype-renderer van het besturingssysteem, en konden worden uitgebuit met behulp van kwaadaardige documenten die waren ingebed in speciaal vervaardigde lettertypen. Van die vier kwetsbaarheden zijn er twee gemeld door onderzoekers van Apple's rivaal Google. Andere drive-by-aanvallen zouden kunnen worden gelanceerd met behulp van verkeerd opgemaakte bestanden, waarbij misbruik wordt gemaakt van zes kwetsbaarheden in de ImageIO-component van Mac OS X, nog eens vijf in QuickTime en twee in QuickLook, de documentvoorbeeldtool van het besturingssysteem.
Weinigen hadden verwacht dat Apple zo snel een nieuwe versie van Mac OS X zou uitbrengen, maar het bedrijf wilde waarschijnlijk zo snel mogelijk de kwetsbaarheden in de oude versie van Mac OS X afdekken. Hetzelfde zou kunnen gebeuren met iOS 4.3.1 waarvan de release werd onlangs bekendgemaakt. Volgens dat gerucht zou iOS 4.3.1 in de komende twee weken beschikbaar moeten zijn in iTunes en de jailbreak van de iPad 2 plus een paar andere bugs in het besturingssysteem moeten blokkeren. Gezien het feit dat Apple de release van Mac OS X 2 heeft bespoedigd, is het mogelijk om getuige te zijn van een soortgelijke situatie in het geval van iOS.
