Шведська охоронна компанія TruSec повідомила Apple про вразливість, виявлену в системі з OS X версії 10.8.5, обіцяючи компанії Apple не розголошувати інформацію про цю вразливість до січня, надаючи більш ніж достатньо часу цьому яблуку для вирішення проблеми перед використанням можна використовувати зловмисно.
Зокрема, першовідкривач цього експлойт під назвою "рупіп", - це швед Еміль Кварнхаммар, якого також прозвали «хакером білих капелюхів». Цей хакер уже підтвердив, що цю вразливість можна запустити в обліковому записі з правами адміністратора та отримати root-доступ за допомогою команди "sudo", не маючи необхідності ідентифікувати себе.
За словами Еміля, все було здійснено за умови контекст "відповідального розкриття інформації" Тому постачальник програмного забезпечення спочатку буде повідомлений про всі деталі принаймні за 90 днів до того, як опублікувати його. Ще до того, як Apple зможе випустити патч, необхідний для уникнення цієї вразливості, Apple може оновити Xprotect, щоб вимкнути вразливі компоненти плагіна та поставити шкідливе програмне забезпечення на карантин. В іншому випадку, якби її виявили комп’ютерні «найманці», вони продали б уразливість, яка вважається «нульовим днем», учаснику, який надав найбільшу ціну, з фінансових причин, принаймні таким чином ми гарантуємо, що є час, щоб правильно це виправити.
Згадаймо випадок із ShellShock і пил, що підняв цю вразливість, яку Apple врешті-решт виправила. У будь-якому випадку, від TruSec вони рекомендують використовувати FileVault для захисту даних та шифрування жорсткого диска, а також використовувати обліковий запис без прав адміністратора, наскільки це можливо, тому для загальних завдань ми можемо використовувати його нормально та коли нам потрібен доступ до кореня системи або за допомогою встановлення програми, або драйверів, ми робимо це, вводячи пароль адміністратора.
