Op kinderlijk eenvoudige wijze heeft een bekende beveiligingsonderzoeker twintig ernstige lekken in Apple's Preview software ontdekt. Charlie Miller is van plan om zijn onderzoek tijdens de CanSecWest conferentie in Vancouver te demonstreren. In totaal vond Miller dertig lekken, waarvan twintig in Apple's PDF-lezer. Aanvallers zouden hierdoor willekeurige code op het systeem kunnen uitvoeren als de gebruiker een kwaadaardig PDF-bestand opent. Is Safari zo ingesteld dat het Preview gebruikt voor het renderen van PDF-bestanden, dan zijn ook drive-by download aanvallen mogelijk. Een gebruiker hoeft in dit geval alleen een kwaadaardige of gehackte website te bezoeken.

Miller wil met zijn onderzoek aantonen hoe eenvoudig het is om kwetsbaarheden in populaire software te vinden. De onderzoeker gebruikte "dumb fuzzing" om lekken in Adobe Reader, Apple Preview, Microsoft PowerPoint en OpenOffice te vinden. Hij schreef een eenvoudig Python script dat uit slechts vijf regels code bestond en willekeurig een bit van een PDF- of PowerPoint-bestand wijzigde. Vervolgens opende hij het bestand met de applicatie om te zien of het zou crashen.

Schokkend
Na drie weken had Miller bijna duizend unieke manieren gevonden om de programma's te laten crashen, waarvan er dertig hem de software lieten overnemen. Naast de 20 Apple Preview-lekken, zitten er in Adobe Reader, PowerPoint en OpenOffice elk drie a vier kwetsbaarheden. De onderzoeker was verbaasd over het hoge aantal lekken, wat volgens hem aantoont dat met name Apple nog steeds niet de basis van hun eigen security tests op orde heeft. "Het is schokkend dat Apple dit niet eerst heeft gedaan. De enige vaardigheid die ik hier heb gebruikt is geduld", aldus Miller. "De moraal van het verhaal is dat als Apple zijn producten wil beveiligen, het moet doen wat ik doe."

Het is niet alleen Apple waar de onderzoeker kritiek op heeft. "Microsoft, Apple en Adobe hebben allemaal grote security-teams en ik ben in mijn eentje. Ik zou dit soort lekken nooit mogen vinden." Details over de kwetsbaarheden maakt hij pas bekend als ze zijn gepatcht, mede om te zien hoe snel de betrokken leveranciers tot actie overgaan.

Adobe
Peter James van beveiligingsbedrijf Intego adviseerde Mac-gebruikers in het verleden om geen Adobe te gebruiken, aangezien dit een beveiligingsrisico is. In plaats daarvan was het verstandiger om PDF-bestanden met Apple's Preview te openen. "Het feit dat Miller 20 lekken vond verandert hier niets aan, aangezien geen van deze lekken worden misbruikt, in tegenstelling tot Adobe Reader en Acrobat waar dit wel zo is", aldus James.