Хакерский отдел Google продолжает публиковать 0day-уязвимости в продуктах сторонних компаний. На прошлой неделе они обидели компанию Microsoft, которая не успела за 90 дней закрыть дыры в Windows 7 и 8.1 (1, 2, 3). Теперь под хакерский кнут попала Apple.
В онлайне опубликована информация о трёх уязвимостях в операционной системе OS X (вместе с эксплоитами). Уязвимости дают возможность повышения привилегий и удалённого исполнения кода в операционной системе, эксплуатируя баги в networkd (effective_audit_token), IntelAccelerator и IOBluetoothDevice.
Apple уведомлена об уязвимостях 20 октября 2014 года, но до сих пор не устранила их. Есть информация, что патчи включены в апдейт OS X Yosemite 10.10.2, который сейчас проходит бета-тестирование.
Уязвимости опубликованы в соответствии с условиями программы Project Zero. По условиям, штатные хакеры Google ищут баги в сторонних продуктах и публикуют их в открытом доступе через 90 дней после того, как уведомили разработчика. Если тот не уложился в отведённые 90 дней, то любой желающий может эксплуатировать эти баги.
