De Safari-webbrowser in Apple's Mac OS X blijkt een beveiligingsgat te hebben. Het gaat om een lek dat het – automatisch – uitvoeren van kwaadaardige code mogelijk maakt. Er waart vooralsnog geen exploit-code rond, maar de ontdekker heeft al wel een proof-of-concept gemaakt.
Ontdekker Michael Lehn biedt online een filmpje aan van zijn proof-of-concept. Daarin valt te zien hoe de browser een als veilig bestempeld bestandsformaat, zoals .zip of .jpg, automatisch opent na het downloaden. Eventuele commando's die zijn verborgen in het 'veilige' bestand, of exploit-code die is vermomd als 'veilig bestand' worden dan uitgevoerd. Een hiervan afgeleide demonstratie is te zien bij beveiligingsbedrijf Secunia.
Het Amerikaanse beveiligingsorgaan SANS noemt het gat een serieuze bedreiging. Het heeft die inschatting nog aangescherpt toen bleek dat de fout niet zozeer in de Safari-webbrowser zit, maar deels in het onderliggende besturingssysteem. Daardoor is ook het e-mailprogramma Mail kwetsbaar voor dit gat. Tips voor een workaround zijn al beschikbaar.
Voor serieuze beschadiging of overname van de computer zijn nog altijd de rechten van het beheerdersaccount nodig, wat bij Mac OS X niet de standaardlogin in. Toch is dit een gevoelige klap voor Apple's besturingssysteem dat als veilig, of in ieder geval veiliger dan Windows, te boek staat. Enkele dagen geleden claimde onder meer antivirusproducent Sophos het eerste virus voor Mac OS X te hebben ontdekt. Kort daarna dook er een Mac-worm op, die misbruik maakt van een fout in Bluetooth. Patches hiervoor zijn al geruime tijd beschikbaar.
