Apple logo Après la révélation de la faille dite de Kaminsky du nom de son découvreur, Apple a été vertement critiqué pour ne pas avoir fourni immédiatement comme Microsoft et autres éditeurs, un correctif pour la combler. Trois semaines après la bataille, la firme à la pomme a fini par livrer un correctif adéquat dans le cadre de sa récente mise à jour de sécurité 2008-05 pour Mac OS X. Dans cette dernière est présent un correctif à destination de BIND, une implémentation du protocole DNS. Petit problème, ce correctif n'a aucun effet pour la version client de Mac OS X.

C'est en tout cas ce qu'ont observé les chercheurs en sécurité informatique de la société nCircle et de l'organisation SANS Institute. L'un a ainsi pointé du doigt un oubli d'Apple pour Mac OS X 10.4(.11) et Mac OS X 10.5(.4) pour l'autre. Selon eux, malgré l'application de la dernière mise à jour, Mac OS X ne rend pas aléatoire l'attribution des ports sources DNS, ce qui permet aux attaquants d'empoisonner les caches des serveurs DNS exécutés sur le système d'exploitation.

Apple a donc probablement paré au plus urgent en corrigeant la vulnérabilité pour Mac OS X version serveur mais a étrangement omis la version client. Apple qui ne s'est pas encore exprimé sur la question, peut cependant avoir estimé qu'il n'y avait aucun risque, du fait que les " clients " manipulent rarement des requêtes DNS.