image

Apple patcht SSL-lek en 32 andere lekken in Mac OS X

woensdag 26 februari 2014, 09:29 door Redactie, 4 reacties

Apple heeft zoals aangekondigd een update voor Mac OS X uitgebracht die het vorige week onthulde SSL-lek verhelpt, alsmede 32 andere lekken. Via de lekken, die zich in verschillende onderdelen van het besturingssysteem bevinden, kon een aanvaller in het ergste geval willekeurige code uitvoeren.

Toch gaat de meeste aandacht uit naar het SSL-lek, waardoor het mogelijk was om versleuteld verkeer van Mac-gebruikers te onderscheppen zonder dat die een waarschuwing kregen. Het probleem zou bij Mavericks zijn geïntroduceerd. Ook iOS was kwetsbaar, maar de patch hiervoor verscheen vorige week al.

Google

Zes van de 33 verholpen lekken werden door werknemers van Google ontdekt. Het gaat om kwetsbaarheden in Apple Type Services (ATS) waardoor de App sandbox omzeild kon worden. Verder ontdekte één van de Google-medewerkers een lek in QuickLook. Het openen van een kwaadaardig Word document maakte het mogelijk om willekeurige code uit te voeren. Naast QuickLook werden er ook zes kwetsbaarheden in QuickTime gepatcht.

Tevens zijn twee lekken in de videokaartdriver van chipfabrikant Nvidia verholpen. Via een kwaadaardige applicatie was het voor aanvallers mogelijk om kwaadaardige code in de videokaart uit te voeren. Een andere patch die opvalt is er één voor CVE-2011-3389. Dit lek werd in 2011 ontdekt en staat beter bekend als de BEAST-aanval.

Hierdoor was het voor aanvallers mogelijk om in bepaalde gevallen door SSL-beveiligde gegevens te onderscheppen en ontsleutelen. Apple heeft nu een oplossing aan Mac OS X Lion toegevoegd die gebruikers hier tegen beschermt. Mac OS X Mavericks 10.9.2 en Security Update 2014-001 voor andere versies van OS X zijn via de Mac App Store en Apple.com te downloaden.

Reacties (4)
26-02-2014, 10:15 door Anoniem
Ik ben nu bezig de originele patch bij Apple te downloaden,wel gek dat ik hem niet kreeg binnen mijn update kanaal al op de computer.
Heeft Apple dat bewust gedaan voor de veiligheid,omdat ook het ingebouwde updateprogramma in OSX het ssl lek bevatte?.
26-02-2014, 12:11 door Anoniem
Niet onbelangrijk: een nieuwe Safari versie!

'Safari 6.1.2 and Safari 7.0.2
OS X Lion v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.1
25 Feb 2014'

Secure verbindingen blijven kennelijk lastig
Blijvend wonderlijk onder deze https link : https://support.apple.com/kb/HT1222
Gemixte content, op nota bene een security info page, dat in bijv. Firefox preventief deels geblokkeerd wordt en dus een visueel manke pagina oplevert.
https://support.mozilla.org/en-US/kb/how-does-content-isnt-secure-affect-my-safety?

De nieuwe Quicktime is overigens voor Windows.
26-02-2014, 12:26 door Anoniem
Bij mij kwam hij wel via het updateprogramma. Moest wel zelf kijken of er updates waren.
26-02-2014, 14:01 door Anoniem
Heb inmiddels,op mijn Imac late 2012,en mijn Macbook pro late 2013 nu OSX 10.9.2 staan.
Vanmorgen had ik zelf bij Apple dus de update gedownload.
Misschien was ik wel erg vroeg met de update,waardoor ik hem dus nog niet op beide computers zelf via het updatekanaal binnen kreeg.
Misschien was Apple nog bezig met het synchroniseren van zijn servers,om de update beschikbaar te maken.
Zal heel best kunnen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.