Apple rolt eerste automatische beveiligingsupdate uit
Apple heeft voor het eerst een beveiligingsupdate automatisch onder Mac-gebruikers uitgerold, zonder dat die hier iets voor moesten doen of van merkten. Het gaat om een update voor meerdere lekken in het Network Time Protocol (NTP), waar vanochtend al melding van werd gemaakt.
In het verleden moesten gebruikers updates van Apple zelf installeren, ook al werd dit wel door het systeem aangegeven. Voor het lek in NTP besloot Apple de automatische updatefunctie te gebruiken. Het bedrijf ontwikkelde deze functie al twee jaar geleden, maar had die nog nooit eerder ingezet. Tegenover Reuters laat Apple weten dat het klanten vanwege de ernst van de NTP-lekken zo snel als mogelijk wilde beschermen. "De update valt niet op en vereist zelfs geen herstart", zegt woordvoerder Bill Evans. Volgens Apple zijn Mac-gebruikers voor zover bekend niet via de lekken aangevallen.
Reacties (12)
Niks van gemerkt van die automatische upate, heb deze gewoon zelf moeten installeren.
Door Anoniem: Niks van gemerkt van die automatische upate, heb deze gewoon zelf moeten installeren.
Nou ik heb het anders wel gemerkt: gisterenavond verscheen heel kort een klein dialoogvenster rechts in beeld. Maar aan de tekst kon je niet zien wat er precies was geüpdatet. Dat bleek de volgende dag pas via deze site.
23-12-2014, 14:43 door
Briolet
Toen ik gisteren 'ntpd' in de terminal intypte vanuit een user account, zat ik in de deamon en kon het 'version' commando geven.
Toen ik dat vanochtend deed kreeg ik de melding: "must be run as root, not uid 501"
Ik dacht al dat ik gek werd, maar dit kan dan toch door die automatische update functie gebeurd zijn. Desalniettemin, kreeg ik toch te zien dat er een update klaar stond bij een check op updates.
Toen ik dat vanochtend deed kreeg ik de melding: "must be run as root, not uid 501"
Ik dacht al dat ik gek werd, maar dit kan dan toch door die automatische update functie gebeurd zijn. Desalniettemin, kreeg ik toch te zien dat er een update klaar stond bij een check op updates.
Idem handmatig (op 10.9.5).
Ik moet wel mijn uiterste best doen om geen Yosemyte op te lopen.
Voor iedereen die die alerts vervelend vind, en misschien al de finale niet weg te klikken alert kreeg (waarbij je geen keuze hebt): Command-click doet de alert in rook opgaan.
Ik moet wel mijn uiterste best doen om geen Yosemyte op te lopen.
Voor iedereen die die alerts vervelend vind, en misschien al de finale niet weg te klikken alert kreeg (waarbij je geen keuze hebt): Command-click doet de alert in rook opgaan.
Na de update vanmorgen nog steeds na een test in de terminal dit: " must be run as root, not uid 501"
Misschien dat het alleen,wordt gebruikt bij het opstarten,dit protocol wordt toch meestal alleen voor de tijd gebruikt om die gelijk te zetten,iedere keer met een tijdserver?,of zie ik dat verkeerd en verwar ik dat met een ander protocol.
Misschien dat het alleen,wordt gebruikt bij het opstarten,dit protocol wordt toch meestal alleen voor de tijd gebruikt om die gelijk te zetten,iedere keer met een tijdserver?,of zie ik dat verkeerd en verwar ik dat met een ander protocol.
Door Briolet: Toen ik gisteren 'ntpd' in de terminal intypte vanuit een user account, zat ik in de deamon en kon het 'version' commando geven.
Toen ik dat vanochtend deed kreeg ik de melding: "must be run as root, not uid 501"
Ik dacht al dat ik gek werd, maar dit kan dan toch door die automatische update functie gebeurd zijn. Desalniettemin, kreeg ik toch te zien dat er een update klaar stond bij een check op updates.
Toen ik dat vanochtend deed kreeg ik de melding: "must be run as root, not uid 501"
Ik dacht al dat ik gek werd, maar dit kan dan toch door die automatische update functie gebeurd zijn. Desalniettemin, kreeg ik toch te zien dat er een update klaar stond bij een check op updates.
Gecheckt met diverse oudere OS X versies
"must be run as root" melding verschijnt wanneer je dit probeert vanuit een standaard account.
Ergo, dit moest altijd al vanuit een admin account maar in Yosemite tijdelijk ineens niet meer?
Voor OS X 10.5 Leopard en 10.4 Tiger is de versie check command kennelijk anders, er gebeurde niets, kon deze commands ook niet zo gauw vinden op internet of man pages (mocht iemand ze weten..) maar verwacht eerlijk gezegd ook daar dat je dit onder een admin account zal moeten uitvoeren.
Grote vraag is wat er gisteravond lokaal allemaal aan spannends op dat Yosemite scherm heeft plaats gevonden,...
Whats the fuzz about?
Ik heb vast iets gemist en bleef het nog missen; hoe ernstig is dit lek nou eigenlijk voor Mac OS X en in welke gevallen dan?
Op zoek naar iets anders (een version check command voor oudere OS x versies), kom ik hier eindelijk een uitleg tegen die wat verheldert (maar nog niet helemaal).
Een Mac PowerPc blog nota bene ;)
http://tenfourfox.blogspot.com/2014/12/time-time-time-see-whats-become-of-ntpd.html
Als je niet kan updaten, die time sync kan gewoon uit hoor.
Zo hard loopt je klok echt niet uit sync.
Sync je hem af en toe een keertje met de Apple server.
6 uur out of sync maar liefst, tja..
Daar lijkt hij een punt te hebben.
Zou een minuutje meer of minder out of sync bij bovenstaande een probleem opleveren?
Ik ben geneigd te denken van niet.
Terug naar dit artikel
http://tenfourfox.blogspot.com/2014/12/time-time-time-see-whats-become-of-ntpd.html
Patchen is gewenst als het kan.
Heb je dat niet, zet dan de automatische time sync uit als je op een untrusted netwerk zit , wifi bijvoorbeeld, en sync later weer een keertje.
Voor wie nog oudere systemen er als een zonnetje bij heeft draaien of het gewoon leuk vindt aan oudere Mac systemen te knutselen :
Mooi,.. for the 'incredibly paranoid', heeft hij wederom (zie ook de sudo patch) een patch inelkaar gedraaid!
http://sourceforge.net/projects/tenfourfox/files/tools/
http://sourceforge.net/projects/tenfourfox/files/tools/ntp-4.2.8-bin-104ppc.tar.gz/download
Blijft over aan niet gepatchte OS X versies
Wederom een keer OS X 10.6. Tussen het schip van Apple en de wal van de zelfsupport community.
Apple, Apple, Apple, is het nu zo'n grote moeite (kosten?) om 10.6 bij hele belangrijke security patches mee te nemen?
In het rest marktaandeel van 20% (?) zijn die 10.6 Mac gebruikers nog steeds goed vertegenwoordigd.
Meenemen met de patch had een loyale service geleken, zeker nu zelfs het veronderstelde niet meer supported OS X 10.7 is meegenomen bij deze patch ronde!
Loyale Apple gebruikers stappen echt wel weer over op een nieuwe Mac als al die oudere dure pro systemen de geest geven.
Maar goed, dat is weer een andere discussie, het leek me aardig op deze achtergrond info te wijzen (ook al draaien de meesten hier 10.9 of 10.10 (niet te verwarren met 10.1 ;).
Ik heb vast iets gemist en bleef het nog missen; hoe ernstig is dit lek nou eigenlijk voor Mac OS X en in welke gevallen dan?
Op zoek naar iets anders (een version check command voor oudere OS x versies), kom ik hier eindelijk een uitleg tegen die wat verheldert (maar nog niet helemaal).
Een Mac PowerPc blog nota bene ;)
http://tenfourfox.blogspot.com/2014/12/time-time-time-see-whats-become-of-ntpd.html
If you don't even try to synchronize your clock, which is apparently the case for more systems than I would have thought, you aren't vulnerable at all. But this isn't a good idea.
Als je niet kan updaten, die time sync kan gewoon uit hoor.
Zo hard loopt je klok echt niet uit sync.
Sync je hem af en toe een keertje met de Apple server.
especially for security
http://tenfourfox.blogspot.com/2014/12/time-time-time-see-whats-become-of-ntpd.html6 uur out of sync maar liefst, tja..
Properly maintaining your computer's clock is a necessary component of security because SSL certificates and access tokens and credentials are always timelimited. Worse than having a clock set such that certificates appear expired is to have your clock set such that bogus expired and possibly previously exploited credentials appear valid. Make sure that Tiger time is the right time.
Daar lijkt hij een punt te hebben.
Zou een minuutje meer of minder out of sync bij bovenstaande een probleem opleveren?
Ik ben geneigd te denken van niet.
Terug naar dit artikel
http://tenfourfox.blogspot.com/2014/12/time-time-time-see-whats-become-of-ntpd.html
Patchen is gewenst als het kan.
Heb je dat niet, zet dan de automatische time sync uit als je op een untrusted netwerk zit , wifi bijvoorbeeld, en sync later weer een keertje.
Voor wie nog oudere systemen er als een zonnetje bij heeft draaien of het gewoon leuk vindt aan oudere Mac systemen te knutselen :
Mooi,.. for the 'incredibly paranoid', heeft hij wederom (zie ook de sudo patch) een patch inelkaar gedraaid!
http://sourceforge.net/projects/tenfourfox/files/tools/
http://sourceforge.net/projects/tenfourfox/files/tools/ntp-4.2.8-bin-104ppc.tar.gz/download
Blijft over aan niet gepatchte OS X versies
Wederom een keer OS X 10.6. Tussen het schip van Apple en de wal van de zelfsupport community.
Apple, Apple, Apple, is het nu zo'n grote moeite (kosten?) om 10.6 bij hele belangrijke security patches mee te nemen?
In het rest marktaandeel van 20% (?) zijn die 10.6 Mac gebruikers nog steeds goed vertegenwoordigd.
Meenemen met de patch had een loyale service geleken, zeker nu zelfs het veronderstelde niet meer supported OS X 10.7 is meegenomen bij deze patch ronde!
Loyale Apple gebruikers stappen echt wel weer over op een nieuwe Mac als al die oudere dure pro systemen de geest geven.
Maar goed, dat is weer een andere discussie, het leek me aardig op deze achtergrond info te wijzen (ook al draaien de meesten hier 10.9 of 10.10 (niet te verwarren met 10.1 ;).
Big deal! Onder de grote Linux-distro's waren ze nóg sneller met een update. Wat is hier zo bijzonder aan dan? Apple wordt zó verheerlijkt door de gemiddelde computerwebsite, en dus zie je dergelijke stomme nieuwsberichten. Terwijl Apple de patch nog moest uitrollen had ik mijn Linuxkisten al voorzien van deze patch. Maar ja, Linux is geen nieuws hè? Pfffff....
correctie bij
De juiste quote link is
http://tenfourfox.blogspot.fr/2014/04/tiger-time-was-six-hours-ago.html
"Tiger time ... was six hours ago? (updated for 10.5)"
especially for security
http://tenfourfox.blogspot.fr/2014/04/tiger-time-was-six-hours-ago.html
"Tiger time ... was six hours ago? (updated for 10.5)"
24-12-2014, 00:12 door
Briolet
Door Anoniem:
Gecheckt met diverse oudere OS X versies
"must be run as root" melding verschijnt wanneer je dit probeert vanuit een standaard account.
Ergo, dit moest altijd al vanuit een admin account maar in Yosemite tijdelijk ineens niet meer?
Door Briolet: Toen ik gisteren 'ntpd' in de terminal intypte vanuit een user account, zat ik in de deamon en kon het 'version' commando geven.
Gecheckt met diverse oudere OS X versies
"must be run as root" melding verschijnt wanneer je dit probeert vanuit een standaard account.
Ergo, dit moest altijd al vanuit een admin account maar in Yosemite tijdelijk ineens niet meer?
Mijn fout. Ik heb alles nog eens nagelopen en ik had het 'ntpq' commando gebruikt. Met dat commando kun je de status van de ntp deamon bekijken en ook een versie opvragen. Toen men het hier over 'ntpd' had, had ik even het verschil niet door.
ntpq> version
ntpq 4.2.6@1.2089-o Fri May 28 01:21:19 UTC 2010 (1)
Deze versie-string is met de update niet veranderd.ntpq 4.2.6@1.2089-o Fri May 28 01:21:19 UTC 2010 (1)
Ik vermoed dat de update te maken heeft met CVE-2014-9295:
http://www.cvedetails.com/cve/CVE-2014-9295/
Heb ook al updates van NTPd moeten installeren op m'n Unix bakken.
http://www.cvedetails.com/cve/CVE-2014-9295/
Heb ook al updates van NTPd moeten installeren op m'n Unix bakken.
Correctie #2
Anoniem, anoniem, anoniem, wel goed lezen hoor!
OS X 10.7 zit ook niet in de patch!
Verwarring zit hem in Lion (10.7) & Mountain Lion 10.8) waarvoor wel een patch is verschenen.
Evengoed is de vraag wat Lion 10.7 en Snow Leopard 10.6 (niet te verwarren met Leopard 10.5 ;) gebruikers dan het beste kunnen doen met machines die nog wel in gebruik zijn maar niet meer kunnen upgraden.
Toch nog een (vermoed) aardig percentage gebruikers, zou er nog een Reuters bericht achteraan komen? :|
Automatische Time Sync de-activeren onder systeemvoorkeuren en periodiek de tijd controleren (en bijstellen) lijkt (mij) de beste oplossing.
Mvg
de inmiddels (hopelijk) meer wakkere 'twin' van 21:01 poster
;)
Blijft over aan niet gepatchte OS X versies
Anoniem, anoniem, anoniem, wel goed lezen hoor!
OS X 10.7 zit ook niet in de patch!
Verwarring zit hem in Lion (10.7) & Mountain Lion 10.8) waarvoor wel een patch is verschenen.
Evengoed is de vraag wat Lion 10.7 en Snow Leopard 10.6 (niet te verwarren met Leopard 10.5 ;) gebruikers dan het beste kunnen doen met machines die nog wel in gebruik zijn maar niet meer kunnen upgraden.
Toch nog een (vermoed) aardig percentage gebruikers, zou er nog een Reuters bericht achteraan komen? :|
Automatische Time Sync de-activeren onder systeemvoorkeuren en periodiek de tijd controleren (en bijstellen) lijkt (mij) de beste oplossing.
Mvg
de inmiddels (hopelijk) meer wakkere 'twin' van 21:01 poster
;)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
