Afgelopen vrijdag gaf Apple een kleine update voor iOS vrij. Het ging om een oplossing voor een bug die ervoor zorgde dat beveiligde (SSL) verbindingen in Safari niet goed gecontroleerd werden. Hierdoor leek de verbinding versleuteld, maar kon deze nog steeds afgetapt worden door een man-in-the-middle attack uit te voeren.

Safari in OS X 10.9 blijkt een soortgelijke kwetsbaarheid te hebben. Apple liet zaterdag aan Reuters weten een update voor de laatste versie van OS X af te hebben. Op zondag ontdekte beveiligingsonderzoekers dat de bugs op meer plaatsen in OS X 10.9 aanwezig zijn.

Naast Safari, zijn de volgende OS X-apps getroffen door de SSL-bug:

Agenda FaceTime Keynote Mail Twitter iBooks Software Update iMessage Opvallend is dat de kwetsbaarheden zowel in iOS 6 als iOS 7 aanwezig waren, maar OS X 10.8, 10.7 en 10.6 vrij zijn van de bug. Mogelijk is in OS X 10.9 een nieuwe SSL-methode geïntroduceerd die de kwetsbaarheden bevat. Een uitgebreide technische uitleg is hier te vinden.

De bug is alleen te misbruiken door een zogenaamde man-in-the-middle attack. Hierbij wordt de communicatie tussen een computer en het internet onderschept door een andere computer. Dit soort aanvallen zijn gemakkelijk uit te voeren op bijvoorbeeld onbeveiligde WiFi-netwerken. Tot een update voor de kwetsbaarheden in OS X 10.9 beschikbaar is, adviseren wij je Mac niet op open of onbekende netwerken te gebruiken.