Apple впервые в своей истории осуществила скрытое обновление операционной системы в автоматическом режиме, незаметно для пользователей. В этом отношении «яблочная» компания уравняла себя с Microsoft, неоднократно замеченной в подобном поведении.
Такой чести удостоилась неприятная уязвимость (точнее, сразу четыре уязвимости) в безопасности сервиса NTP (Network Time Protocol), который используется для синхронизации системного времени на компьютере со временем на NTP-сервере. В числе трёх наиболее опасных уязвимостей — переполнение буфера, слабая энтропия (в случае, если ключ аутентификации не установлен в конфигурационном файле, то NTP генерирует слабый случайный ключ с недостаточной энтропией) и слабый ГПСЧ.
По мнению независимых специалистов, с помощью уязвимостей CVE-2014-9293, CVE-2014-9294, CVE-2014-9295 и CVE-2014-9296 злоумышленники могут получить удалённый доступ к компьютерам.
Apple выпустила патч в систему автоматического обновления в понедельник 22 декабря.
Информация о баге попала в открытый доступ в пятницу 19 декабря, когда соответствующий бюллетень опубликовали Министерство внутренней безопасности США и институт разработки программного обеспечения при университете Карнеги-Меллона. В оригинальной версии бюллетеня были перечислены десятки компаний, включая Apple, чьи программы могут быть уязвимы.
Баг присутствует во всех версиях NTP до NTP-dev4.2.7p11 (выпущена 28 января 2010 года). Его обнаружили сотрудники Google Security Team.
Во время всех предыдущих обновлений безопасности Apple выпускала патчи, которые распространялись через обычную систему апдейтов и обычно требовали явных действий от пользователя для установки.
В данном случае решено провести скрытое автоматическое обновление, вероятно, в силу высокой опасности и широкой распространённости бага.
Механизм скрытых обновлений компания Apple внедрила в операционную систему два года назад и никогда не использовала до этого понедельника.
«Апдейт совершенно незаметный, он даже не требует перезагрузки компьютера», — сказал Билл Эванс (Bill Evans) из компании Apple в интервью Reuters.