[img=right]http://www.macfreak.nl/base/data/news/images/apple.jpg[/img]Nadat het vaak geclaimd was maar het bewijs nooit geleverd werd of dat iemand de hacker al admin-rechten gegeven bleek te hebben lijkt is het nu eindelijk echt te zijn gebeurd.
CanSecWest (een conferentie over digitale veiligheid) had een
wedstrijd uitgeschreven waarbij de winnaar een van de twee MacBook's kon winnen als hij hij via een hack binnen kon komen.
In eerste instantie bleken de regels te streng, de aanvallen konden alleen gedaan worden via een draadloos netwerk en er stonden geen programma's op de Mac open, en leek het de zoveelste wedstrijd zonder winnaar te worden. Daarna mochten URL's via email verstuurd worden om een aanval via de browser uit te voeren. En daarbij is het gelukt om via een
malicious web page via Java een browser via de achterdeur te kraken. De browser opende hierbij een ogenschijnlijk lege pagina maar men kon daarmee volgens de hacker in principe bij ieder bestand op de Mac.
Het feit dat het via de Java-implementatie op de Mac werkt, betekent trouwens dat in principe iedere browser hiermee aan te vallen is. In eerste instantie is de demo met Safari gedaan en later is het dan ook met Firefox gelukt.
Shane Macaulay was degene die de hack uitvoerde en neemt de MacBook mee naar huis. De code kwam van Dino Dai Zovi die de 10.000 dollar die TippingPoint (onderdeel van 3Com) recent voor
zero-day hacks beschikbaar
had gesteld waarschijnlijk opstrijkt.
Wat betekent dit in de praktijk? In eerste instantie is zeer onwaarschijnlijk dat deze fout in Java naar buiten zal komen, onder 'nette' hackers is het de gewoonte om zoiets aan het bedrijf in kwestie te melden en die een bepaalde periode te geven om een en ander aan te passen.
Apple heeft voorlopig alleen het standaard commentaar gegeven:
"Apple takes security very seriously and has a great track record of addressing potential vulnerabilities before they can affect users"
Na de recente
security update van Apple die de fouten gevonden in de
Month of Apple bugs corrigeerde kunnen we nu over een paar weken waarschijnlijk een nieuwe verwachten die deze problemen corrigeert.
Mocht je erg paranoia zijn en regelmatig erg dubieuze sites bezoeken zou je Java uit kunnen zetten, maar voor het moment lijkt het er op dat daar weinig reden voor is.
Er loopt op het forum ook al
een draadje over. Maar de opening daarvan bevat nogal cruciale fouten, vandaar dat er een aparte nieuwsflits aan gewijd is.
Update:
Iets meer informatie is
hier te vinden. Daar is zowel te lezen dat het om Java (en dus niet Javascript) gaat en dat de hacker in kwestie Apple keurig de tijd zal geven om een en ander te repareren.