Miller oświadczył w rozmowie z serwisem H-online.com , że w ostatnim czasie wykrył 20 różnych luk w Mac OS X i że zamierza poświęcić tej sprawie swoje wystąpienie na rozpoczynającej się w tym tygodniu słynnej konferencji CanSecWest. Specjalista twierdzi, że wszystkie znalezione przez niego problemy w pełni spełniają kryteria błędu "zero day ". Tym mianem określa się luki, które mogą zostać wykorzystane do skutecznego zaatakowania systemu i które zostały wykryte zanim producent udostępnił odpowiednie uaktualnienie.
Dziurawy, ale bezpieczny?
Śpieszymy jednak uspokoić użytkowników Mac OS X - Miller po raz kolejny powtórzył bowiem właśnie swoje na pozór paradoksalne stwierdzenie na temat bezpieczeństwa systemu Apple'a . Jego zdaniem system ten jest co prawda wciąż gorzej zabezpieczony niż Windows - ale mimo to jego użytkownicy są bezpieczniejsi niż osoby korzystające z OS-u Microsoftu (użytkowników Windows jest wielokrotnie więcej, więc przestępcy skupiają się raczej na atakowaniu ich).
Miller wyjaśnia, że owe 20 luk znalazł zarówno w oprogramowaniu będącym dziełem Apple, jak w i komponentach dostarczonych przez inne firmy (wszystkie występują jednak w oprogramowaniu domyślnie zainstalowanym w Mac OS X). Niewykluczone zresztą, że część tych luk została już załatana przez swoich producentów - warto przypomnieć, że w przeszłości Miller już kilkakrotnie krytykował Apple za to, że firma tygodniami zwleka z dostarczeniem użytkownikom Mac OS X uaktualnień dla oprogramowania tworzonego przez firmy zewnętrzne czy środowisko open-source, ale wykorzystywanego w Mac OS X. Poślizg między opublikowaniem oryginalnej poprawki, a przygotowaniem przez Apple wersji dla Mac OS X sięga niekiedy nawet dwóch miesięcy.
Pwn2Own - konkurs dla hakerów
Co ważne, specjalista nie zamierza na razie publikować szczegółowych informacji o owych błędach - podczas CanSecWest Miller będzie mówił głównie o tym, jak je wykrył. Pełny raport o problemach otrzyma oczywiście Apple - Miller ma nadzieję, że firma nie będzie zwlekała z łataniem swojego produktu.
Dodajmy, że podczas konferencji odbędzie się również kolejna edycja konkursu hakerskiego Pwn2Own , podczas którego uczestnicy będą próbowali włamywać się do popularnych przeglądarek, systemów operacyjnych oraz urządzeń mobilnych (zwycięzcy w poszczególnych kategoriach dostają nagrody pieniężne oraz komputer lub smartfon, do którego się włamali). W konkursie weźmie udział również Miller, który zwyciężył w rywalizacji w roku 2008 i 2009 (w obu przypadkach włamał się do Mac OS X za pośrednictwem błędów w zabezpieczeniach przeglądarki Safari).
Daniel Cieślak
