Apple patcht SSL-lek en 32 andere lekken in Mac OS X
Apple heeft zoals aangekondigd een update voor Mac OS X uitgebracht die het vorige week onthulde SSL-lek verhelpt, alsmede 32 andere lekken. Via de lekken, die zich in verschillende onderdelen van het besturingssysteem bevinden, kon een aanvaller in het ergste geval willekeurige code uitvoeren.
Toch gaat de meeste aandacht uit naar het SSL-lek, waardoor het mogelijk was om versleuteld verkeer van Mac-gebruikers te onderscheppen zonder dat die een waarschuwing kregen. Het probleem zou bij Mavericks zijn geïntroduceerd. Ook iOS was kwetsbaar, maar de patch hiervoor verscheen vorige week al.
Zes van de 33 verholpen lekken werden door werknemers van Google ontdekt. Het gaat om kwetsbaarheden in Apple Type Services (ATS) waardoor de App sandbox omzeild kon worden. Verder ontdekte één van de Google-medewerkers een lek in QuickLook. Het openen van een kwaadaardig Word document maakte het mogelijk om willekeurige code uit te voeren. Naast QuickLook werden er ook zes kwetsbaarheden in QuickTime gepatcht.
Tevens zijn twee lekken in de videokaartdriver van chipfabrikant Nvidia verholpen. Via een kwaadaardige applicatie was het voor aanvallers mogelijk om kwaadaardige code in de videokaart uit te voeren. Een andere patch die opvalt is er één voor CVE-2011-3389. Dit lek werd in 2011 ontdekt en staat beter bekend als de BEAST-aanval.
Hierdoor was het voor aanvallers mogelijk om in bepaalde gevallen door SSL-beveiligde gegevens te onderscheppen en ontsleutelen. Apple heeft nu een oplossing aan Mac OS X Lion toegevoegd die gebruikers hier tegen beschermt. Mac OS X Mavericks 10.9.2 en Security Update 2014-001 voor andere versies van OS X zijn via de Mac App Store en Apple.com te downloaden.
Heeft Apple dat bewust gedaan voor de veiligheid,omdat ook het ingebouwde updateprogramma in OSX het ssl lek bevatte?.
'Safari 6.1.2 and Safari 7.0.2
OS X Lion v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.1
25 Feb 2014'
Secure verbindingen blijven kennelijk lastig
Blijvend wonderlijk onder deze https link : https://support.apple.com/kb/HT1222
Gemixte content, op nota bene een security info page, dat in bijv. Firefox preventief deels geblokkeerd wordt en dus een visueel manke pagina oplevert.
https://support.mozilla.org/en-US/kb/how-does-content-isnt-secure-affect-my-safety?
De nieuwe Quicktime is overigens voor Windows.
Vanmorgen had ik zelf bij Apple dus de update gedownload.
Misschien was ik wel erg vroeg met de update,waardoor ik hem dus nog niet op beide computers zelf via het updatekanaal binnen kreeg.
Misschien was Apple nog bezig met het synchroniseren van zijn servers,om de update beschikbaar te maken.
Zal heel best kunnen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
