[img=right]http://www.macfreak.nl/base/data/news/images/apple.jpg[/img]Nadat het vaak geclaimd was maar het bewijs nooit geleverd werd of dat iemand de hacker al admin-rechten gegeven bleek te hebben lijkt is het nu eindelijk echt te zijn gebeurd.

CanSecWest (een conferentie over digitale veiligheid) had een wedstrijd uitgeschreven waarbij de winnaar een van de twee MacBook's kon winnen als hij hij via een hack binnen kon komen.

In eerste instantie bleken de regels te streng, de aanvallen konden alleen gedaan worden via een draadloos netwerk en er stonden geen programma's op de Mac open, en leek het de zoveelste wedstrijd zonder winnaar te worden. Daarna mochten URL's via email verstuurd worden om een aanval via de browser uit te voeren. En daarbij is het gelukt om via een malicious web page via Java een browser via de achterdeur te kraken. De browser opende hierbij een ogenschijnlijk lege pagina maar men kon daarmee volgens de hacker in principe bij ieder bestand op de Mac.

Het feit dat het via de Java-implementatie op de Mac werkt, betekent trouwens dat in principe iedere browser hiermee aan te vallen is. In eerste instantie is de demo met Safari gedaan en later is het dan ook met Firefox gelukt.

Shane Macaulay was degene die de hack uitvoerde en neemt de MacBook mee naar huis. De code kwam van Dino Dai Zovi die de 10.000 dollar die TippingPoint (onderdeel van 3Com) recent voor zero-day hacks beschikbaar had gesteld waarschijnlijk opstrijkt.

Wat betekent dit in de praktijk? In eerste instantie is zeer onwaarschijnlijk dat deze fout in Java naar buiten zal komen, onder 'nette' hackers is het de gewoonte om zoiets aan het bedrijf in kwestie te melden en die een bepaalde periode te geven om een en ander aan te passen.

Apple heeft voorlopig alleen het standaard commentaar gegeven:

"Apple takes security very seriously and has a great track record of addressing potential vulnerabilities before they can affect users"

Na de recente security update van Apple die de fouten gevonden in de Month of Apple bugs corrigeerde kunnen we nu over een paar weken waarschijnlijk een nieuwe verwachten die deze problemen corrigeert.

Mocht je erg paranoia zijn en regelmatig erg dubieuze sites bezoeken zou je Java uit kunnen zetten, maar voor het moment lijkt het er op dat daar weinig reden voor is.

Er loopt op het forum ook al een draadje over. Maar de opening daarvan bevat nogal cruciale fouten, vandaar dat er een aparte nieuwsflits aan gewijd is.

Update:
Iets meer informatie is hier te vinden. Daar is zowel te lezen dat het om Java (en dus niet Javascript) gaat en dat de hacker in kwestie Apple keurig de tijd zal geven om een en ander te repareren.

Betreft het alleen een security issue in Mac Browsers en hun Java implementatie of geldt het voor alle platforms ?

Voor zover ik heb kunnen vinden zit de fout in de Java-implementatie op de Mac.

Maar andere besturingssystemen hebben zo hun eigen problemen...  

Goed om te weten dat het niet om Javascript gaat, anders zou men nog eens massaal die functionaliteit gaan uitschakelen.

Voor zover ik heb begrepen werkt die hack praktisch niet als je: geen beheerders account gebruikt voor je internet surfen, en je geen gebruikers naam/passwoord invult als safari (of andere browser) daar "spontaan" om vraagt.

(Bewerkt door Powerbooky om 15:21, 23-04-2007)

Ik weet niet precies wat hij doet, maar het schijnt dat de hack via Java "user privileges" krijgt.
Dat betekent dat het programma dan dus alles kan wat jij kunt als gebruiker.
Daarom is het ook zo belangrijk om geen admin te zijn, want een admin kan gemakkelijk
"root privileges" krijgen en daarmee de computer nog meer misbruiken dan jij als gebruiker
al zou kunnen.

Ik surf/werk altijd vanuit een admin account. Maar als jullie vanuit een gebruikers account werken zonder admin-rechten, hoe doe je dat dan met installeren van programma's e.d.?

Moet je daar dan altijd voor in een admin-account inloggen of moet je gewoon naam èn wachtwoord invullen?

Programma's die dingen in systeemmappen zetten (en dat zijn er toch nogal wat, de meeste volgens mij) vereisen een admin naam en wachtwoord. Omdat je daar als normale gebruiker niet mag komen.  Programma's die dat soort dingen niet doen kun je gewoon zelf installeren. (Een extra puntje is, dat OS X je om admin naam en wachtwoord vraagt als je iets in de map Programma's wilt gooien, maar dat is Unix-gewijs eigenlijk onzin. Via de terminal kun je het namelijk wel. Op dat punt is het dus een extra veiligheidje dat ze in OS X hebben gemaakt om per ongeluk slepen van applicaties te voorkomen, denk ik.