Apple heeft een kwetsbaarheid in macOS Catalina, waar aanvallers uiteindelijk misbruik van maakten, pas zeven maanden later verholpen nadat de beveiligingsupdate voor macOS Big Sur verscheen. Onlangs liet Google weten dat de kwetsbaarheid in de XNU-kernel van macOS, aangeduid als CVE-2021-30869, in combinatie met een beveiligingslek in Safari was gebruikt om macOS-gebruikers te infecteren met een backdoor.

Het XNU-lek was op 1 februari van dit jaar door Apple in macOS Big Sur 11.2 verholpen. Dit werd echter niet in eerste instantie door het techbedrijf vermeld. Apple liet pas op 23 september weten dat CVE-2021-30869 in Big Sur was opgelost, nadat het door Google op misbruik van de kwetsbaarheid was gewezen en het op dezelfde dag een beveiligingsupdate voor macOS Catalina had uitgebracht. Door middel van het XNU-lek kan een aanvaller die al toegang tot een macOS-systeem heeft code met kernelrechten uitvoeren.

In april van dit jaar werden details over het beveiligingslek tijdens de Zer0con-conferentie gepresenteerd (pdf). De update voor Catalina verscheen zoals gezegd op 23 september. "Dit gaf aanvallers de mogelijkheid om personen met Catalina en Safari 13 onopgemerkt aan te vallen", zegt Thomas Reed van securitybedrijf Malwarebytes.

De onderzoeker vindt het verdacht dat de vermelding van de update niet in de release notes van Big Sur 11.2 stond en pas werd vermeld op hetzelfde moment nadat het probleem in Catalina was opgelost. "Dat lijkt te suggereren dat het iets is waarvan Apple al wist dat het verholpen had moeten worden, of zeer snel ontdekte dat het om dezelfde Big Sur-bug ging", merkt Reed op. Hij stelt dat het incident laat zien dat gebruikers er alleen op kunnen vertrouwen dat Apple de laatste macOS-versie van updates voorziet en het gebruik van oudere versies op eigen risico is.