image

Gebruikers Little Snitch-firewall gewaarschuwd voor oud lek

woensdag 13 juli 2016, 11:19 door Redactie, 4 reacties

Gebruikers van de populaire Mac-firewall Little Snitch zijn gewaarschuwd voor een 6 maanden geleden gepatcht beveiligingslek waardoor een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. Hoewel een update sinds januari beschikbaar is hebben niet alle gebruikers die geïnstalleerd.

"Dit is een ernstige kwetsbaarheid en een belangrijke software-update die Little Snitch-gebruikers eenvoudig kunnen hebben gemist", zo laat onderzoeker Patrick Wardle tegenover Threatpost weten. Wardle zal volgende maand tijdens de Def Con hackerconferentie zijn onderzoek met de titel 'I've got 99 Problems, but Little Snitch ain't one' presenteren. "Beveiligingsproducten moeten onze computers veiliger maken, niet onveiliger", zo stelt hij in de aankondiging van zijn lezing.

Little Snitch is volgens Wardle de de factor personal firewall voor OS X om netwerkverkeer te filteren. "Helaas was het omzeilen van de netwerkmonitoringsmechanismes eenvoudig en erger, de kernel van de firewall bevatte een te misbruiken beveiligingslek." Via de kwetsbaarheid zou een aanvaller die al toegang tot een systeem heeft willekeurige code in de context van de kernel kunnen uitvoeren en zo bijvoorbeeld een rootkit of keylogger kunnen installeren of beveiligingsmaatregelen uitschakelen.

Update

Wardle ontdekte het probleem in januari en waarschuwde dezelfde maand nog het ontwikkelteam van Little Snitch. Op 28 januari werd er middels versie 3.62 een update gepubliceerd. De onderzoeker hekelt echter de manier waarop ontwikkelaar Objective Development gebruikers waarschuwde. Er zou namelijk niet duidelijk zijn gemaakt dat het om een ernstig beveiligingsprobleem ging. "Het bagatelliseren van deze kwetsbaarheid houdt in dat gebruikers het niet weten en niet snel updaten", aldus Wardle. Volgens Objective Development blijkt uit de serverlogs dat inmiddels 95% van de gebruikers een versie draait die niet kwetsbaar is. Het exacte aantal kwetsbare gebruikers wil de ontwikkelaar niet zeggen.

Reacties (4)
13-07-2016, 14:43 door Anoniem
Het zou me niks verbazen als het gedeelte gebruikers die de update niet hebben geïnstalleerd een 'minder legale' versie hebben waarbij een update de licentie revoked en ter preventie hiervan alle connecties naar de server worden geblokkeerd.

Heb zelf de demo versie een tijd lang gehad, dan moest je na 3 uur het filter weer activeren. In de tussentijd draaide er dan geen firewall en als je je mac aan liet staan had je dus geen firewall. Uiteindelijk toch maar een (in mijn ogen veel te dure) licentie gekocht.
13-07-2016, 16:32 door Anoniem
Ook zo probleem met de trots van software developers en bedrijven als iemand een probleem aankaart wordt het genegeerd of weg gewuift onder het mom van ja ja leuk en nu op zouten. Iemand je wijst op een serieus lek in je software, dan moet je gewoon om de tafel gaan zitten en bespreken wat er mis is en kijken hoe je dit zo snel mogelijk kan gaan oplossen om je product en klanten te beschermen.
13-07-2016, 16:54 door Anoniem
Typisch Wardle : any excuse will do for the commercial promotion of the great self

Lees het originele artikel en zie dat er eigenlijk helemaal niet zoveel aan de hand is, het is snel gepatcht, veel sneller dan Apple deed voor een gerelateerd probleem, en, niet onbelangrijk, het zou op kunnen gaan voor een beperkt aantal systemen.
Kunnen! Maar Wardle doet vast graag uit de doeken hoe dat precies te doen.

Niet zoveel aan de hand dus behalve dan dat deze meneer kennelijk vindt dat zijn ontdekking niet genoeg credits heeft gekregen en hij met dit omslachtige doorzichtige excuus komt om weer eens luidkeels de publiciteit te zoeken en o.a. zijn aankomende talk nog even te promoten.

Publiciteit zoeken dus met een excuus, want daarnaast heeft Wardle ook een security bedrijf dat niet op lucht kan draaien en waarvoor het vast geen kwaad kan (wel) daarvoor op indirecte wijze reclame te maken.
Luidruchtig, vooral elke keer weer heel luidruchtig.

Wat hij bereikt is dat misschien zijn berichten en geschreeuw steeds meer gebagatelliseerd gaat worden, 'heb je hem weer met een vergezocht lek waarvoor hij ook gelijk een oplossing/nieuw product kan promoten'.
Dat doen er meer in de AV industrie en dat gaat zich op een keer wreken, dan kiezen potentiële klanten liever voor een meer integer bedrijf.

Meer en meer ontstaat de indruk dat deze man het misschien wel bijna jammer vindt dat wat hij vindt niet misbruikt wordt.
Dat is immers ook in zoverre jammer dan voor de oplossingen die hij aan de security man probeert te brengen.
Wat niet zo lukt als er geen behoefte is.

Samengevat : gevalletje jammer jammer dat weer veel teveel aandacht krijgt in de pers.
13-07-2016, 23:28 door karma4
hoe weten ze uit serverlogs dat 95% niet meer kwetsbaar is. Welke gegevens hebben een calling home traject doorlopen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.