Nå må du oppdatere Mac

Apple lapper kritisk hull.

Apple later som ingenting hva gjelder SSL-sårbarheten, som overhodet ikke er nevnt i oppdateringen som kom tirsdag kveld. Hullet er nå nemlig lappet.
Apple later som ingenting hva gjelder SSL-sårbarheten, som overhodet ikke er nevnt i oppdateringen som kom tirsdag kveld. Hullet er nå nemlig lappet. Bilde: Marius Jørgenrud
25. feb. 2014 - 21:03

Ved 20-tiden tirsdag kveld kom Apple med OS X Mavericks 10.9.2. Dette er en oppdatering alle Mac-brukere bør laste ned umiddelbart.

Operativsystemet har fått et knippe forbedringer og programmer som Facetime og iMessage er blant annet utstyrt med ny funksjonalitet.

Det er foretatt flere ulike feilfikser, men den virkelig store elefanten i rommet sier Apple ingenting om.

Vi snakker selvfølgelig om den svært alvorlige SSL/TLS-sårbarheten som Apple selv sørget for å røpe før helgen, da de lappet det samme hullet i iOS til iPhone og iPad.

Etter fire døgns øredøvende stillhet om en kritisk feil som har forbløffet sikkerhetseksperter og satt millioner av brukere i fare, så velger Apple å forholde seg ganske tause også når de luker vekk den samme feilen i OS X.

For sårbarheten skal være borte nå. Det bekrefter blant andre Forbes.

De har til og med klart å få en bekreftelse fra Apple-talsmann Ryan James, som i en kort kommentar opplyser at oppdateringen håndterer SSL-sårbarheten både i OS X Mavericks og Mountain Lion.

Det som nå er døpt «goto-feilen» etter en dobbeltoppføring og tilsynelatende tabbe i kildekoden i Apples SSL-implementasjon skal ha oppstått for 18 måneder siden.

Feilen er så spesiell at det har vært debattert om koden kan være plantet bevisst, eller resultatet av en menneskelig glipp.

– Skulle det ha vært plantet en bakdør i kildekoden, så måtte det være noe som dette, mener enkelte. Jeg vet ærlig talt ikke hva jeg skal tro eller tippe, om det er tidens copy-paste-feil eller en tabbe utført av en trøtt programmerer etter for lite kaffe, sa uavhengig sikkerhetsekspert Per Thorsheim til digi.no i går.

Det som er sikkert er at sårbarheter av denne typen er svært attraktive for angripere.

Årsaken er at det kan gi tilgang til sensitiv informasjon, som brukernavn og passord, kredittopplysninger, innhold av e-poster og så videre, forklarte hans bransjekollega Juan J. Güelfo i Ålesund-baserte Encripto.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.