Apple heeft stilletjes een lek in Yosemite gepatcht zonder de update voor Mac OS X Mavericks beschikbaar te maken, zo blijkt uit onderzoek van beveiligingsonderzoekers. Via de kwetsbaarheid in de IOBluetoothFamily kernel-extensie kan een lokale aanvaller zijn rechten op het systeem verhogen.

Het lek is aanwezig in OS X Mavericks (10.9.4 en 10.9.5), maar is "stilletjes" gepatcht door Apple in OS X Yosemite, aldus Roberto Paleari en Aristide Fattori. De onderzoekers vergeleken de code van OS X 10.9.x (Mavericks) en 10.10 Yosemite en ontdekten dat Apple het probleem had verholpen, zonder dit in de release notes te melden. Op 20 oktober vroegen de onderzoekers aan Apple of het van plan was de update ook onder gebruikers van Mavericks uit te rollen, maar kregen geen reactie en besloten daarom gisteren de details van het lek openbaar te maken.

"Yosemite is al enige tijd gratis beschikbaar voor Apple-klanten, dus we denken niet dat het openbaar maken van dit lek een gevaar voor eindgebruikers vormt." Na de openbaarmaking kregen de onderzoekers wel een reactie van Apple. Daarin werd bevestigd dat het lek inderdaad in Yosemite was gepatcht en er nog werd overwogen om het probleem ook in oudere OS X-versies op te lossen.

Volgens een beveiligingsonderzoeker met het alias 'osxreverser' is de werkwijze van Apple geen verrassing en komt het vaker voor dat het bedrijf lekken en bugs in de nieuwste OS X-versie patcht en in oudere versies laat zitten. Daarom heeft de onderzoeker zelf een patch voor Mavericks-gebruikers gemaakt die men op eigen risico kan installeren.