"QuickTime nieuwe Internet Explorer, Apple nieuwe Microsoft"
Het aantal kwetsbaarheden en exploits voor Apple's QuickTime is dit jaar weer toegenomen, en ook volgend jaar ziet het er niet best uit voor de mediaspeler, waardoor experts Apple inmiddels met Microsoft vergelijken. Werden er vorig jaar nog 28 QuickTime lekken gepatcht, dit jaar staat de teller al op 32, een behoorlijke stijging ten opzichte van 2005 toen het nog maar om vijf kwetsbaarheden ging.
Deze week werd er weer een ernstig lek in de mediaspeler ontdekt, waardoor gebruikers van Windows XP, Vista en Mac OS X risico lopen. Inmiddels zijn er vijf exploits voor het nieuwste lek verschenen, waaronder eentje die aanvalscode via JavaScript uitvoert.
De situatie heeft ervoor gezorgd dat Apple met Microsoft wordt vergeleken. "QuickTime is de nieuwe IE en Apple de nieuwe Microsoft", aldus een onderzoeker die voor beide bedrijven werkt. En dat is geen gekke vergelijking, omdat QuickTime net als Internet Explorer op bijna alle Windows machines te vinden is, en vaak voor lange tijd niet gepatcht wordt. Net als Microsoft heeft ook Apple flinke kritiek gekregen omdat het traag met uitbrengen van patches is, en heeft het ook al verschillende ruzies met beveiligingsonderzoekers achter de rug.
De Nederlandse beveiligingsonderzoeker Jan Rochat ontdekte dat ook de Second Life viewer met deze kwetsbaarheid te maken heeft. Hij raadt spelers aan om streaming video playback in de Second Life viewer uit te schakelen, tenzij het om een betrouwbare aanbieder gaat.
Het Amerikaanse Computer Emergency Readiness Team adviseert om JavaScript en QuickTime gedeeltelijk uit te schakelen. Richard Mogull heeft nog een paar tips voor Apple, dat door "library randomization" en sandboxing misbruik van dit soort lekken kan voorkomen.
opeens komt dat brakke iTunes ook op je PC. Ik heb niet eens
een iPod! Dus de oplossing: Geen Quicktime gebruiken.
nou met zo'n titel moet itsmeman toch blij worden.
eerste gedachte.
Apple is een relatief klein bedrijf dat méér en méér verantwoordelijkheid krijgt
door de ongelooflijke populariteit van programma's zoals iTunes. De
veiligheid van die programma's is maar zo goed als de kennis van de
mensen die deze apps hebben geprogrammeerd. Als Apple er in slaagt om
voldoende specialisten te laten werken aan de veiligheid van Apple's
programma's, zal het veiligheidsprobleem niet noemenswaardig zijn. Als
Apple echter nonchalant is, of niet flexibel genoeg, zullen ze snel negatieve
publiciteit krijgen.
nou met zo'n titel moet itsmeman toch blij worden.
eerste gedachte.
Apple is een relatief klein bedrijf dat méér en méér verantwoordelijkheid
krijgt
door de ongelooflijke populariteit van programma's zoals iTunes. De
veiligheid van die programma's is maar zo goed als de kennis van de
mensen die deze apps hebben geprogrammeerd. Als Apple er in slaagt
om
voldoende specialisten te laten werken aan de veiligheid van Apple's
programma's, zal het veiligheidsprobleem niet noemenswaardig zijn. Als
Apple echter nonchalant is, of niet flexibel genoeg, zullen ze snel negatieve
publiciteit krijgen.
onterecht. Maar meestal zijn die kritieken op Microsoft terug te voeren op
afgunst op Bill vanwege zijn miljarden. Nou, ik ben daar niet jaloers op, op
die miljarden, ik heb er aan één wel genoeg.
En Apple een klein bedrijfje noemen als verontschuldiging voor hun
stomme streken, vind ik helemaal de limit. Apple bestaat langer dan
Microsoft, dus hebben ze al die tijd iets niet goed gedaan als ze nog
steeds klein zijn.
Maar ik vind jullie reactie verder wel grappig hoor. Dat houdt de discussie
tenminste levendig.
Maar handleidingen voor het maken van atoombommen mogen niet
verspreid worden.
Ik vind dat meten met twee maten en hoop de onze regering
dit soort informatie daadwerkelijk zo spoedig mogelijk zal
verbieden.
En het is ook logisch dat Apple software meer ionder vuur
komt te liggen want het wordt populairder en dus valt er
meer te verdienen met exploits. Ook programmeurs die bij
Apple hebben gewerkt waarschuwden al langer dat veel code
bij Apple totaal niet security-aware geschreven is.
Apple bestaat langer dan
Microsoft, dus hebben ze al die tijd iets niet goed gedaan
als ze nog
steeds klein zijn.
De lekken staan open en bloot op internet, met uitleg erbij.
Maar handleidingen voor het maken van atoombommen mogen niet
verspreid worden.
Ik vind dat meten met twee maten en hoop de onze regering
dit soort informatie daadwerkelijk zo spoedig mogelijk zal
verbieden.
Volgens mij kun je als je goed zoekt op internet ook een handleiding
vinden voor het maken van een atoombom.
Ik mis echter informatie over wat precies die ernstige lek is die er in
Quicktime zou zitten, welk gevaar ik nou loop is mij onduidelijk.
Apple bestaat langer dan Microsoft, dus hebben ze al die tijd iets niet goed gedaan als ze nog steeds klein zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
