Apple wapent Mountain Lion met automatische updates
Apple heeft het nieuwe besturingssysteem Mountain Lion voorzien van een functie om automatisch beveiligingsupdates te installeren. Op verschillende momenten controleert het systeem of er nog nieuwe security updates beschikbaar zijn. De "OS X Security Update Test 1.0" draait dagelijks en bij het opstarten van de Mac. Beschikbare updates worden vervolgens in de achtergrond gedownload en geïnstalleerd, waardoor gebruikers er geen omkijken meer naar hebben.
"Het kan zijn dat dit alleen voor OS beveiligingsupdates geldt, in welk geval de verbetering minimaal is. Maar het kan zijn dat deze feature wordt gebruikt om ook andere software te updaten, in welke geval het zeer handig zou zijn", zegt Lysa Myers van beveiligingsbedrijf Intego.
Standaard heb je daarbij de keuze uit zoeken naar updates per dag, week of maand en kan je kiezen voor de optie "Download belangrijke updates automatisch".
Er verschijnt dan een melding dat de software geïnstalleerd kan worden.
Het nieuwe aan het geheel is dan alleen het feit dat er ook dagelijks updates beschikbaar gesteld zouden worden. Blijft staan de vraag of de historische 'accuratesse' van de leverancier nu op dagelijkse basis gaat plaatsvinden.
Wat ook blijft staan is de gevoeligheid in het kader van misbruik.
Het flashback virus maakte nou juist misbruik van de automatische beschikbaarheid melding door dit window te infecteren (programma icoontjes en invoer window) of in zijn geheel na te bootsen (dat is nog steeds wat onduidelijk).
Daardoor kon je geen onderscheid maken tussen een te vertrouwen melding en een geïnfecteerde melding daar de windows die om toestemming en wachtwoord vroegen niet van elkaar te onderscheiden waren.
De veiligste methode lijkt dan nog steeds om wel de beschikbaarheid melding intact te laten en installatie niet toe te staan om vervolgens op het moment dat je zelf kiest in te loggen op je beheerders account en handmatig de update van de
support site te downloaden.
Wel dien je er dan van verzekerd te zijn dat je browser programma/pakketinhoud weer niet geïnfecteerd is (daar had je dan ook een reserve browser voor geparkeerd) en dat je echt op de juiste site zit (dns-troubles). Kan je zelf ook de sha1 controleren.
- beheerderaccount aanmaken
- auto install deactiveren
- schone backupbrowser achter de hand houden of een browser reserveren voor alleen updates en bijvoorbeeld internetbankieren
"Het kan zijn dat dit alleen voor OS beveiligingsupdates geldt, in welk geval de verbetering minimaal is. Maar het kan zijn dat deze feature wordt gebruikt om ook andere software te updaten, in welke geval het zeer handig zou zijn", zegt Lysa Myers van beveiligingsbedrijf Intego.
Het kan zijn dat het morgen regent, maar het kan ook droog zijn. :)
Man wat een ego zeg. Alsof er bijna niks meer verbeterd kan worden bij Apple, dan kunnen ze net zo goed heel het updaten afschaffen. Ieder besturingssysteem (Apple, Windows, Linux etc.) moet tussentijds geüpdatet worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
