Négy hónapja nem javítja az Apple az OS X-et
Egyelőre nem javította a Gatekeeper súlyos, és roppant egyszerűen kihasználható sebezhetőségét az Apple. Az OS X beépített biztonsági korlátja így jelenleg súlytalan.
Négy hónapja ismert biztonsági rés tátong az Apple asztali operációs rendszerén, amelyet az Apple ígérete ellenére, a hiba tavaly szeptemberi felfedezése óta még mindig nem javított ki. A helyzetet súlyosbítja, hogy a sebezhetőség épp a vállalat számítógépein 2012 óta jelen lévő biztonsági sorompót, a Gatekeepert érinti. A különböző malware-ek kiszűréséért felelős program ugyanis a Synack biztonsági cég igazgatója, Patrick Wardle szerint egy szinte faék egyszerűségű módszerrel megkerülhető, lehetővé téve a rosszindulatú kód futtatását a kiszemelt gépeken.
A kapuőr megkerülésének kulcsa az egybe csomagolt alkalmazásokban rejlik: míg a biztonsági megoldás az egyes appok elindítása előtt azokon számos tesztet elvégez, többek között ellenőrzi, hogy rendelkeznek-e az Apple aláírásával, azt ugyanakkor már figyelmen kívül hagyja, ha az adott szoftver egy másik könyvtárból egy újabb, potenciálisan kártékony alkalmazás futtatásába kezd. Ezt kihasználva a keyloggerektől a különböző botnet-szoftverekig számos kártevő juttatható a Macekre.
Bár láthatóan komoly biztonsági hibáról van szó, annak orvoslásával az Apple még mindig késik. A vállalat már szeptemberben jelezte, tudomásul vette a problémát, és dolgozik a patchen - ez azonban az OS X El Capitan megjelenésével, illetve a decemberi, 10.11.2-es verziószámú stabil frissítéssel sem érkezett meg, a rendszer az eljárással máig sebezhető maradt. Az Apple-nek mindenesetre már igencsak időszerű lenne lépnie azért is, mert Wardle a hétvégén zajlott ShmooCon biztonsági konferencián részletesen demonstrált egy a Gatekeeper gyengeségét kihasználó támadást.
Szerencsére az OS X felhasználóinak nem kell megvárniuk a cupertinói cég válaszát, hogy biztonságban tudják számítógépüket, a biztonsági szakértő ugyanis már korábban elkezdett dolgozni a sebezhetőség orvosolásán, mára pedig weboldalán elérhetővé is tette az Ostiarius névre keresztelt megoldást, amely a Gatekeeper hiányzó funkcióit pótolja. Ez persze valószínűleg csak az érintett felhasználók töredékéhez jut el, így a tényleges javítás továbbra is az Apple-re vár.