Nieuws
image

Apple dicht ernstige lekken in Mac OS X en Safari

vrijdag 2 september 2016, 07:45 door Redactie, 8 reacties

Apple heeft beveiligingsupdates voor Mac OS X en Safari uitgebracht die ernstige lekken verhelpen die eerder zijn gebruikt om de iPhone van een mensenrechtenactivist in de Verenigde Arabische Emiraten aan te vallen. Via de kwetsbaarheden kan een aanvaller code met kernelrechten uitvoeren.

Het bezoeken van een kwaadaardige of gehackte website is hiervoor voldoende. Security Update 2016-001 El Capitan en Security Update 2016-005 Yosemite verhelpen twee zero day-lekken die actief op iOS zijn aangevallen en waarvoor Apple eind augustus een iOS-update uitgebracht. In het geval van Mac OS X is het mogelijk om via de twee kwetsbaarheden informatie uit het kernelgeheugen uit te lezen en kan een programma willekeurige code met kernelrechten uitvoeren.

Daarnaast is er ook een kwetsbaarheid in Safari 9.1.3 gepatcht waardoor een kwaadaardige website, zonder enige interactie van gebruikers behalve te worden bezocht, willekeurige code op het systeem kon uitvoeren. De kwetsbaarheden waren door onderzoekers van Citizen Lab en beveiligingsbedrijf Lookout gevonden en aan Apple gerapporteerd. Bij het onderzoek naar de iPhone-aanval ontdekten de onderzoekers een Israelisch bedrijf genaamd NSO Group dat spyware voor overheden maakt en dit via de destijds drie onbekende kwetsbaarheden in iOS op het toestel van mensenrechtenactivist Ahmed Mansoor probeerde te installeren. Of de beveiligingslekken ook zijn gebruikt om Mac-gebruikers aan te vallen is onbekend.

Reacties (8)
02-09-2016, 11:04 door [Account Verwijderd]
[Verwijderd]
02-09-2016, 13:40 door karma4
Het probleem en de vraag is meer hoe dit soort kwetsbaarheden ooit in het Apple economie systeem hebben kunnen komen. Wat is er nog meer?
En was het niet zo dat dit niet mogelijk was bij Apple. .
Nee ik geloof niet in absoluut veilige systemen. Alle software bevat fouten maakt niet uit wie de leverancier of maker is.
02-09-2016, 14:12 door MathFox - Bijgewerkt: 02-09-2016, 14:15
Als programmeur kan ik je vertellen dat er door programmeurs ook wel eens slordig wordt gewerkt. Dat lang niet alle foutjes gevonden worden in tests en code reviews (als die al gedaan worden.) Ja, alle code bevat bugs, Apple, Microsoft, Linux, Google, Oracle, Adobe, enz.
Hoeveel bugs zitten nog in de software van een bepaalde leverancier er in en wat is de ernst daarvan? Dat is lastig in te schatten want het is een som van ontwerpbeslissingen, kwaliteit van programmeurs en testers en hoeveel aandacht het management besteedt aan kwaliteit van de geleverde producten. De CERT zwakheden lijst is een weerslag van wat er na het op de markt brengen van de software nog gevonden is.

Mijn indruk is dat Microsoft haar achterstand van een factor 10 of zo op Apple en Linux die ze meer dan tien jaar geleden had aan het inlopen is.
02-09-2016, 21:58 door Anoniem
4Krama..

"Wat is er nog meer?"

Als je werkelijk zo begaan bent en wakker wil liggen van deze vraag.
Google even wat op linkjes, daar ben je goed in.
"microsoft" "zero day" site:security.nl

Maak je nou maar druk om de veiligheid van je eigen favoriete spulletjes.
Veel nuttiger want je druk maken om spullen die je niet gebruikt en waar je geen ene klootviool verstand van hebt is in jouw geval dan ook totaal niet geloofwaardig.

Trolling dat is het en blijft het, iedere keer weer.
Ziekelijk gewoon.
03-09-2016, 11:17 door Anoniem
Zit al twee dagen te wachten op update...helemaal niks te zien..laatste dateerdt van 30/08 en betreft software voor HP printers e.d...Wats nu..??
03-09-2016, 21:27 door Anoniem
Door Anoniem: Zit al twee dagen te wachten op update...helemaal niks te zien..laatste dateerdt van 30/08 en betreft software voor HP printers e.d...Wats nu..??

Net de updates naar Mac OS X 10.10.5 en Safari 9.1.3 geïnstalleerd, ik weet niet sinds wanneer die beschikbaar waren want ik had de computer enkele dagen niet gebruikt.
03-09-2016, 22:42 door karma4
Door Anoniem:
Veel nuttiger want je druk maken om spullen die je niet gebruikt en waar je geen ene klootviool verstand van hebt is in jouw geval dan ook totaal niet geloofwaardig.
.
Wat ziekelijk is: die merkververslaving dat jou opgemetseld economie systeem heilg is. De problemen alleen in conçurent tooltjes zouden zitten. Het is de voetbalfanclub die alleen op rellen uit is.

Als je serieus met secùrity bezig zou zijn moet je dat loslaten. Informatieveiligheid is veel meer dan tooltjes. Ik zie degenen die onder zo'n steen leven van de benauwde visie als een belemmering en mede oorzaak dat er weinig verbeterd.
04-09-2016, 09:50 door Anoniem
Door karma4:
Door Anoniem:
Veel nuttiger want je druk maken om spullen die je niet gebruikt en waar je geen ene klootviool verstand van hebt is in jouw geval dan ook totaal niet geloofwaardig.
.
Wat ziekelijk is: die merkververslaving dat jou opgemetseld economie systeem heilg is. De problemen alleen in conçurent tooltjes zouden zitten. Het is de voetbalfanclub die alleen op rellen uit is.

Inderdaad! Het ontbreekt hier op security.nl vele aan visie! Zoals Johan Cruijff al zei: "Voetbal hoort gespeeld te worden in een 4-3-3 opstelling. Je kunt niet met twee spitsen spelen, want dan krijg je oneven getallen en kan een elftal nooit functioneren."
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure