На этой неделе команда безопасности Google Project Zero предала гласности несколько уязвимостей безопасности в OS X, через три месяца после того, как эти проблемы были переданы Apple (согласно Ars Technica). Хотя Apple официально не комментировала эти проблемы, похоже, одна из них уже была исправлена, а iMore сообщает, что две оставшиеся уязвимости устранены в OS X 10.10.2, которая в настоящее время проходит тестирование разработчиками.

Project Zero занимается обнаружением уязвимостей безопасности в различных операционных системах и программном обеспечении, предоставляя их владельцам 90 дней на устранение проблем до публикации своих результатов для общественности. В ходе анализа OS X от Apple команда обнаружила проблемы, связанные с повреждением памяти, выполнением кода ядра и побегом из песочницы. Как отмечает Ars Technica:

На первый взгляд, ни одна из них не кажется критически важной, поскольку все три, по-видимому, требуют, чтобы злоумышленник уже имел некоторый доступ к целевой машине. […]

Тем не менее, эксплойты могут быть объединены с отдельной атакой для повышения привилегий низкого уровня и получения контроля над уязвимыми Mac. И поскольку раскрытия содержат код эксплойта, доказывающий концепцию, они предоставляют достаточно технических деталей для опытных хакеров, чтобы создавать вредоносные атаки, нацеленные на ранее неизвестные уязвимости.

Поскольку 90-дневный срок истек на этой неделе, группа начала публиковать свои находки в интернете. Заметки Google предполагают, что одна из уязвимостей была исправлена с выпуском OS X Yosemite, в то время как две другие остались неадресированными.

Но, как было отмечено iMore, предстоящее обновление OS X 10.10.2 от Apple действительно включает исправления для двух оставшихся уязвимостей, обнаруженных Project Zero.

[Основываясь на последней сборке OS X 10.10.2, предоставленной [в среду] разработчикам, Apple уже исправила все вышеперечисленные уязвимости. Это означает, что исправления будут доступны всем, кто использует Yosemite, как только 10.10.2 станет общедоступной.

Project Zero от Google уже несколько месяцев раскрывает существенные уязвимости безопасности, ранее обнаруживая несколько значительных проблем в Windows и делясь ими в интернете. Проект проливает свет на крайне необходимые исправления для различных операционных систем, но иногда подрывает саму суть безопасности, как в случае с Windows, когда пользователи оказались более уязвимы из-за обнародованных данных до того, как Microsoft смогла их должным образом исправить. Тем не менее, 90-дневный срок до публичного раскрытия предназначен для того, чтобы дать компаниям время на устранение проблем, а также стимулировать их делать это своевременно.