Hacker vindt 20 lekken in Apple Preview
Op kinderlijk eenvoudige wijze heeft een bekende beveiligingsonderzoeker twintig ernstige lekken in Apple's Preview software ontdekt. Charlie Miller is van plan om zijn onderzoek tijdens de CanSecWest conferentie in Vancouver te demonstreren. In totaal vond Miller dertig lekken, waarvan twintig in Apple's PDF-lezer. Aanvallers zouden hierdoor willekeurige code op het systeem kunnen uitvoeren als de gebruiker een kwaadaardig PDF-bestand opent. Is Safari zo ingesteld dat het Preview gebruikt voor het renderen van PDF-bestanden, dan zijn ook drive-by download aanvallen mogelijk. Een gebruiker hoeft in dit geval alleen een kwaadaardige of gehackte website te bezoeken.
Miller wil met zijn onderzoek aantonen hoe eenvoudig het is om kwetsbaarheden in populaire software te vinden. De onderzoeker gebruikte "dumb fuzzing" om lekken in Adobe Reader, Apple Preview, Microsoft PowerPoint en OpenOffice te vinden. Hij schreef een eenvoudig Python script dat uit slechts vijf regels code bestond en willekeurig een bit van een PDF- of PowerPoint-bestand wijzigde. Vervolgens opende hij het bestand met de applicatie om te zien of het zou crashen.
Schokkend
Na drie weken had Miller bijna duizend unieke manieren gevonden om de programma's te laten crashen, waarvan er dertig hem de software lieten overnemen. Naast de 20 Apple Preview-lekken, zitten er in Adobe Reader, PowerPoint en OpenOffice elk drie a vier kwetsbaarheden. De onderzoeker was verbaasd over het hoge aantal lekken, wat volgens hem aantoont dat met name Apple nog steeds niet de basis van hun eigen security tests op orde heeft. "Het is schokkend dat Apple dit niet eerst heeft gedaan. De enige vaardigheid die ik hier heb gebruikt is geduld", aldus Miller. "De moraal van het verhaal is dat als Apple zijn producten wil beveiligen, het moet doen wat ik doe."
Het is niet alleen Apple waar de onderzoeker kritiek op heeft. "Microsoft, Apple en Adobe hebben allemaal grote security-teams en ik ben in mijn eentje. Ik zou dit soort lekken nooit mogen vinden." Details over de kwetsbaarheden maakt hij pas bekend als ze zijn gepatcht, mede om te zien hoe snel de betrokken leveranciers tot actie overgaan.
Adobe
Peter James van beveiligingsbedrijf Intego adviseerde Mac-gebruikers in het verleden om geen Adobe te gebruiken, aangezien dit een beveiligingsrisico is. In plaats daarvan was het verstandiger om PDF-bestanden met Apple's Preview te openen. "Het feit dat Miller 20 lekken vond verandert hier niets aan, aangezien geen van deze lekken worden misbruikt, in tegenstelling tot Adobe Reader en Acrobat waar dit wel zo is", aldus James.
Volgens mij kies je zelf voor Apple, dus geef jezelf de schuld ;)
Volgens mij worden de Adobe lekken ook niet of nauwelijks misbruikt op OSX.
Dat is natuurlijk niet waar. Hij is heus niet de enige die op zoek is naar lekker in software, zelfs niet de enige die op zoek is naar lekken in Preview.app.
Ik heb niks tegen Apple maar het is gewoon onmogelijk dat alle programmeurs overal in de wereld fouten maken, behalve bij Apple. De enorme update packages die er regelmatig uit gaan bewijzen al het tegendeel en ik denk dat het nog maar het topje van de ijsberg is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
