Apple patchuje niedbale?

Jeden z prelegentów goszczących na konferencji Black Hat w Las Vegas ostro krytykował koncern Apple za "niedbałe i nonszalanckie" uaktualnianie open-source'owych elementów swojego systemu operacyjnego. Zdaniem Charlesa Millera, specjalisty z firmy Independent Security Evaluators, koncern nie dba należycie o bezpieczeństwo swoich produktów, narażając tym samym użytkowników na ataki cyberprzestępców.

"Apple ma zwyczaj nieuaktualniania na czas open-source'owych komponentów Mac OS X. Moim zdaniem oprogramowanie o otwartym kodzie jest równie bezpieczne, jak to o zamkniętym - problem w tym, że Apple nie nadąża z łataniem wykorzystywanego w jego produktach otwartego kodu" - oświadczył Ch. Miller podczas swojej prelekcji.

"Nonszalancja - to dość ostre określenie, ale doskonale przedstawia ono postępowanie Apple w tym przypadku. Jeśli ta firma chce opierać się na open-source i promować swój system jako bezpieczniejszy niż Windows, to jej zadaniem jest dbanie, by był on odpowiednio uaktualniany" - mówi przedstawiciel Independent Security Evaluators.

Warto wspomnieć, iż to właśnie Miller - wraz z dwoma innymi pracownikami ISE - odkrył i opisał lukę w oprogramowaniu iPhone'a, o której informowaliśmy w tekście "ISE: wiemy jak włamać się do iPhone'a". Apple co prawda kilka dni temu usunął już ten błąd, jednak zdaniem Charlesa Millera, koncernowi wciąż można wiele zarzucić w kwestii łatania oprogramowania.

Miller wspomniał m.in. o poważnej luce w frameworku WebKit, wykorzystywanym przez przeglądarkę Safari. Twórcy projektu Webkit zdążyli już ją załatać, jednak Apple wciąż tego nie zrobił. Przedstawiciel ISE wypomniał również firmie z Cupertino fakt, iż zwlekała ponad dwa miesiące z udostępnieniem uaktualnienia usuwającego poważny błąd z makowej implementacji Samby - błąd, który autorzy open-source'owego oprogramowania znaleźli i załatali już w maju.

Charles Miller podkreślił, iż problem nie leży po stronie autorów oprogramowania open-source, wykorzystywanego w produktach Apple - ci zwykle łatają wszelkie luki znacznie szybciej niż autorzy "zamkniętych" aplikacji. Winą za opóźnienia obarczyć należy Apple, ponieważ firma ta tygodniami zwleka z przygotowaniem własnych wersji uaktualnień. Zdaniem Millera, takie zachowanie naraża użytkowników na poważne niebezpieczeństwo. Wystarczy bowiem, że przestępca porówna changelog wybranego oprogramowania open-source w wersji "samodzielnej" i tego samego kodu zaimplementowanego do Apple - w ten sposób błyskawicznie dowie się, przez jakie luki może próbować zaatakować komputer pracujący pod kontrolą Mac OS X.


Zobacz również