En miss av Apple gör att OS X 10.10.4 är sårbart för attacker och det finns redan skadlig kod som utnyttjar säker-hetsluckan.
Den tyska säkerhetsforskaren Stefan Esser har publicerat uppgifter om en dag noll-sårbarhet i OS X. Problemet, enligt Esser, är att Apple har introducerat en ny felloggningsfunktion i OS X 10.10 utan att riktigt säkra funktionen. Esser skriver att Apple av misstag lagt de nya funktionerna så att de gör det möjligt att skriva) till valfri fil i filsystemet.
Säkerhetsföretaget Malwarebytes skriver i ett blogginlägg att de påstår sig ha upptäckt elak kod som redan utnyttjar sårbarheten och ger rottillgång utan krav på lösenord. Den kod som Malwarebytes upptäckt är speciellt utformad för att ta bort sig själv efter att ha körts.
Buggen finns enligt uppgift i alla versioner av 10.10.4 och tidigare betaversioner av 10.10.5, medan hålet tydligen ska vara stängt i senare betarevideringar. OS X 10.11 är inte påverkat. Apple kommer säkerligen att reparera felet i en kommande uppdatering.
Till dess går det att använda Essers egen fix för problemet, som finns här: https://github.com/sektioneins/SUIDGuard.