Apple beschermt Mac OS X tegen nieuwe SSL-aanval
Apple heeft een update voor Mac OS X uitgebracht die gebruikers tegen de nieuwe SSL-aanval beschermt die deze week werd onthuld. Door een ernstige kwetsbaarheid in SSL 3.0 zou een aanvaller via een Man-in-the-Middle-aanval informatie uit versleutelde verbindingen kunnen stelen, zoals cookies.
Het probleem wordt veroorzaakt doordat een aanvaller die zich tussen een gebruiker en het internet bevindt het gebruik van SSL 3.0 kan afdwingen, waarna de aanval kan worden uitgevoerd. Security Update 2014-005 van Apple voor Mac OS X Mountain Lion (10.8.5) en Mavericks (10.9.5) voorkomt dat er op SSL 3.0 wordt teruggevallen als een versleutelde verbinding via TLS niet kan worden opgezet.
Aangezien een aanval alleen mogelijk is via een Man-in-the-Middle-aanval stellen experts dat vooral gebruikers van open wifi-netwerken risico lopen. Security Update 2014-005 is verkrijgbaar via de Mac App Store of Apple's Software Downloads. Deze update bevat ook de inhoud van de update die Apple eerder voor het Bash-lek uitbracht.
Dat lijkt een aanwijzing te zijn dat support voor Lion gestopt is.
Het lijkt er dus op dat de marketshare van unsupported OS X versies weer wat groter is geworden.
Daarover hoor je niks en is er ook nergens iets over te vinden. Dat zijn toch met name de apparaten die makkelijk verbinding kunnen maken met open wifi-netwerken.
Op IOS kun je nergens de SSL v3 functionaliteit uitschakelen (mits met een jailbreak), niet in Safari en ook niet in Chrome.
Daarover hoor je niks en is er ook nergens iets over te vinden. Dat zijn toch met name de apparaten die makkelijk verbinding kunnen maken met open wifi-netwerken.
Op IOS kun je nergens de SSL v3 functionaliteit uitschakelen (mits met een jailbreak), niet in Safari en ook niet in Chrome.
IOS 8 is niet kwetsbaar. Safari op IOS 8 wel. Ik verwacht dat dit in de update van a.s. maandag zit!
waarschijnlijk zul je minimaal mountain Lion moeten draaien
Nee hoor, wel stoppen met Safari gebruiken als Lion support gestopt is, want Safari krijgt dan immers ook geen support meer.
Met het overstappen op bijvoorbeeld een browser als Firefox is het ssl probleem opgelost.
Heb je geen heel nieuw OS X of een nieuwe Mac voor nodig.
Ach je krijgt het gevaar geïncorporeerd in het gemak van draadloos gebruik toch niet meer overtuigend geëtaleerd. Trendy jongelui willen allemaal met hun Macje opengeklapt in een openbare gelegenheid gezien worden. Trieste van de kwestie is dat 9 van de 10 ook niet meer weten hoe thuis een UTP kabel te leggen met een trekveer en een krimptang te gebruiken, dus ook thuis zitten zij te wi-fi-en.
Maar daarnaast is het lullige dat Apple service ook zwaar steunt op wifi. Probeer maar eens een herinstallatie vanuit 'the cloud' met een draadje. Lukt niet want de enige optie is een draadloos netwerk kiezen om verbinding te krijgen met de Apple servers.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
