Versies van OS X ouder dan 10.10.3 bevatten een bug die het voor kwaadaardige apps mogelijk maakt om volledige rechten op het hele systeem (root) te verkrijgen. Dat heeft een beveiligingsonderzoeker donderdag op zijn blog gepubliceerd.

De kwetsbaarheid was sinds 2011 in OS X aanwezig en is in OS X 10.10.3 gepatcht. Oudere versies van OS X zoals 10.7.5, 10.8.2, 10.9.5 en 10.10.2 blijven kwetsbaar. De bug is niet op afstand te misbruiken, maar vereist fysieke toegang en een account op een Mac.

Beveiligingsonderzoeker Emil Kvarnhammar ontdekte de bug vorig jaar, maar heeft gewacht met publicatie tot Apple een patch had. Het gaat om een verborgen API die Apple zelf gebruikte bij de systeemvoorkeuren. In combinatie met een andere bug kan deze misbruikt worden om volledige administrator/root rechten op een Mac te krijgen.

Fysieke toegang of een kwaadaardige app installeren is nodig. Een Mac op afstand kraken is niet mogelijk.

Omdat fysieke toegang of een kwaadaardige app nodig is, is van de bug op Macs die standalone door één iemand gebruikt worden klein. Als je een Mac met meerdere personen die niet allemaal 100% te vertrouwen zijn deelt, of liefhebber bent van apps uit donkere hoekjes van het internet is de kans op misbruik groter.

Voorkomen is beter dan genezen: upgraden naar OS X 10.10.3 dus.