Apple WWDC 2015
Entdeckt wurde das Problem von Luca Todesco aus Italien. Dieser hat auf der Entwickler-Plattform GitHub sowohl Demonstrations-Codes für das Ausnutzen der Lücke bereitgestellt, wie auch einen selbst entwickelten Patch. Da er aber nicht über ein Entwickler-Zertifikat von Apple verfüge, könne er diesen nicht in einer Form anbieten, die sich einfach auf einem Mac installieren lässt. Der Anwender muss den Patch-Code selbst kompilieren und ins System einpflegen.
Die große Frage ist nun, ob Apple das Problem bereits länger bekannt ist - worauf dessen Fehlen im neuesten Betriebssystem-Code schließen ließe. Dann wäre es ein Rätsel, warum es noch keinen Patch gibt - immerhin hat Apple gerade erst ein Security-Update veröffentlicht.
Es ist aber auch denkbar, dass der Exploit unter 10.11 nicht funktioniert, da die Schwachstelle aus anderen Gründen nicht mehr auf die vorliegende Art ausgenutzt werden kann. Zumindest ist Apple nicht von Todesco schon vor einiger Zeit über die Lücke informiert worden, wie es bei anderen sicherheitsrelevanten Veröffentlichungen üblich ist. Dieser teilte dem Unternehmen seine Erkenntnisse erst einige Stunden vor dem Upload der Codes auf GutHub mit.
Er wies aber Berichte zurück, die Spekulationen darüber anstellten, warum er Apple keine Zeit zur Herausgabe eines Patches ließ und ihm unterstellten, er habe so gehandelt, weil er ein Problem mit dem Unternehmen habe.