Nieuw lokaal root-lek in macOS was al bekend bij Apple
Een onderzoeker met het alias Siguza heeft een kwetsbaarheid in macOS openbaar gemaakt waardoor een kwaadaardige applicatie of gebruiker het systeem volledig kan overnemen en waarvoor nog geen update beschikbaar is. Het beveiligingslek was echter al bekend bij Apple dat dacht het probleem te hebben gepatcht. De beveiligingsupdate was echter niet door Apple geverifieerd, aldus Siguza op Hacker News.
Daardoor is ook de meest recente versie van macOS kwetsbaar. Het beveiligingslek is aanwezig in IOHIDFamily, een kernelextensie die wordt gebruikt voor human interface devices (HID). Via de kwetsbaarheid kan een ongeprivilegieerde gebruiker code met kernelrechten uitvoeren. De onderzoeker maakte de kwetsbaarheid en bijbehorende exploit gisterenavond openbaar.
Er was kritiek op de werkwijze, aangezien Apple niet in staat zou zijn geweest om een update te ontwikkelen. Siguza laat weten dat hij de kwetsbaarheid bij het Zero Day Initiative (ZDI) van anti-virusbedrijf Trend Micro had aangemeld. Het ZDI betaalt onderzoekers voor het melden van onbekende kwetsbaarheden. Vervolgens informeert het ZDI de betreffende leverancier zodat er een update ontwikkeld kan worden.
De onderzoeker had de exploit en zijn beschrijving al klaarliggen met de intentie om het openbaar te maken. "Voornamelijk omdat ik meer van hacken dan van geld hou", zo stelt Siguza. Toch was hij benieuwd wat hij voor de kwetsbaarheid zou krijgen, waarop hij het ZDI benaderde. De aangeboden beloning was echter niet genoeg voor de onderzoeker om hem van gedachten te doen veranderen waarop hij tot publicatie overging.
Hij merkt op dat hij vanwege zijn liefde voor hacking zijn werk openbaar heeft gemaakt en Apple geen hak wil zetten. Om de kwetsbaarheid uit te buiten moet een aanvaller al code op het systeem kunnen uitvoeren. "Als je je zorgen maakt over mensen die dat kunnen, dan kunnen ze ook al zonder mij kernelrechten krijgen. Dus voor de doorsnee gebruiker verandert er niets", zo laat de onderzoeker verder weten. Om de aanval te laten werken wordt de gebruiker uitgelogd. Wanneer gebruikers onverwachts worden uitgelogd kan dit een teken zijn, merkt Siguza op. Tevens geeft hij gebruikers het advies om geen onbetrouwbare software uit te voeren.
Apple zou inmiddels met een update voor de kwetsbaarheid bezig zijn. Na de publicatie van zijn rapport nam een Apple-engineer contact met Siguza op en stelde dat Apple het probleem al had gevonden en er ook een patch voor het probleem was ontwikkeld. Deze update bleek de kwetsbaarheid echter niet te verhelpen. Verder liet de engineer weten dat het Apple-team de uitgebreide beschrijving van de onderzoeker waardeerde.
Update
Siguza meldt op Hacker News dat de meest recente versie van macOS (10.13.2) nog steeds kwetsbaar is. Alleen de exploit van de onderzoeker werkt niet meer op deze versie "out of the box". Hij merkt echter op dat het mogelijk is om de exploit aan te passen zodat de aanval wel op macOS 10.13.2 kan worden uitgevoerd.
De exploit werkt namelijk NIET op de allerlaatste versie van MacOS, dus 10.13.2.
Siguza verwijst naar de source van Apple welke blijkbaar beschikbaar is. OSS! Datums geven 2002 aan maar de verwijzing naar next zou kunnen duiden op iets van nog 10 jaar ouder.
Het risico schatten Siguza laag in omdat je code op de machine moet kunnen draaien en om root te krijgen een restart.
Het opent de weg voor een ketting aanval maar die kans tja..
Sourcebrowser. Have fun.
Het lijkt wel of Apple kwaliteitscontrole problemen heeft (testgeval ongevalideerd gelaten)?
Sourcebrowser. Have fun.
Je meent het! Echt! Is dat spul open source? Goh, dat valt me mee van Apple! Met die gesloten hardware en app store, je verwacht het niet. Zijn ze toch niet helemaal te vergelijken met Microsoft.
Je meent het! Echt! Is dat spul open source? Goh, dat valt me mee van Apple! Met die gesloten hardware en app store, je verwacht het niet. Zijn ze toch niet helemaal te vergelijken met Microsoft.
Ook IBM Intel Microsoft Oracle SAP hebben als commerciëlen zeer veel openbaar gegeven. Waar de bron dat verplicht stelt of het niet differentiërend iets is dan hebben ze er voorkeur voor.
Niet differentiërend OSS betekend ook dat ze de verantwoording niet hoeven te nemen. Veel goedkoper als je niet verantwoordelijk bent.
Laat me raden, je gebruikt een opensource bios variant, eigen gebakken chips en controleerd Z E L F alle code die je gebruikt op A L je devices en gebruiksvoorwerpen?
Next.
Je meent het! Echt! Is dat spul open source? Goh, dat valt me mee van Apple! Met die gesloten hardware en app store, je verwacht het niet. Zijn ze toch niet helemaal te vergelijken met Microsoft.
Wat nou dag 2? Doe toch niet zo wijverig man!
Het is een feit dat Microsoft closed source software levert. En staan ze daarin nog meer alleen dan ik al dacht want Apple is blijkbaar deels open source. Zou er een correlatie zijn met de hoeveelheid malware waarmee Microsoft wordt geconfronteerd? (In tegenstelling tot Apple en Linux).
Je meent het! Echt! Is dat spul open source? Goh, dat valt me mee van Apple! Met die gesloten hardware en app store, je verwacht het niet. Zijn ze toch niet helemaal te vergelijken met Microsoft.
Wat nou dag 2? Doe toch niet zo wijverig man!
Ik had niet gedacht dat ik het nog ooit met Karma4 eens zou worden maar in dit geval wel.
Hou nou eens op met dat OS bashing, er kunnen meerdere redenen zijn waarom iemand voor een bepaald product kiest/moet kiezen. We zijn allemaal volwassen mensen die in staat zouden moeten zijn om zelf een afweging te maken voor product a, b of c. Ik weet 100% zeker dat de meest fervente voorstander van opensource OOK closed source software gebruikt dus schei maar uit met dat verhaaltje.
Apple en veel Linux distro's hebben ook een gesloten appstore. Alleen Windows heeft het nu na jaren ook eindelijk nageaapt.
Heeft niet alleen met marktaandeel te maken. Apple en Linux systemen zijn qua ontwerp gewoon veiliger dan Windows.
Het enige waar Microsoft echt het beste in is is marketing.
En dit is geen OS bashing maar helaas de waarheid. Nooit begrepen waarom Microsoft zulke inferieure software levert terwijl zoveel personeel in dienst hebben.
Niet out-of-the-box, wel als je deze verder aanpast; v10.13.2 is dus wel kwetsbaar. Verder klopt de bewering geheel; je bent overgeleverd aan de grillen van leveranciers bij closed source software. Waarbij ze dit goed, danwel slecht, kunnen oppakken.
Apple en veel Linux distro's hebben ook een gesloten appstore. Alleen Windows heeft het nu na jaren ook eindelijk nageaapt.
Heeft niet alleen met marktaandeel te maken. Apple en Linux systemen zijn qua ontwerp gewoon veiliger dan Windows.
Het enige waar Microsoft echt het beste in is is marketing.
En dit is geen OS bashing maar helaas de waarheid. Nooit begrepen waarom Microsoft zulke inferieure software levert terwijl zoveel personeel in dienst hebben.
Als je meegemaakt Hoe Microsoft door IBM in de voorkeurspositie geholpen is da zou je het niet vragen.
Voor os/2 was er geen software beschikbaar en die kwam ook niet wegens de licentie lockin.
De markt ging voor superieure software op het open platvorm dat Windows heette. Het is niet het os code dat bepaalt of iets open of gesloten eco systeem is maar de vrijheid om applicaties er op te zetten. Daarbij komt de garantie van jarenlange continuïteit. Iets wat je elders niet vind of je moet mainframes ibm kennen.
Apple en veel Linux distro's hebben ook een gesloten appstore. Alleen Windows heeft het nu na jaren ook eindelijk nageaapt.
Heeft niet alleen met marktaandeel te maken. Apple en Linux systemen zijn qua ontwerp gewoon veiliger dan Windows.
Het enige waar Microsoft echt het beste in is is marketing.
En dit is geen OS bashing maar helaas de waarheid. Nooit begrepen waarom Microsoft zulke inferieure software levert terwijl zoveel personeel in dienst hebben.
Niet over OS-bashing lullen karma4-vogel! Microsoft is in talloze rechtzaken verwikkeld geweest om haar discutable gedrag en marketing. Veel maar dan haar concurrenten dat ooit zijn geweest dus de aandacht af proberen te leiden met referenties naar anderen is niet erg zinvol.
https://en.wikipedia.org/wiki/Microsoft_litigation
Ik zou willen adviseren - voordat je reageert - om alles te lezen.
De exploit werkt namelijk NIET op de allerlaatste versie van MacOS, dus 10.13.2.
...
Apple en veel Linux distro's hebben ook een gesloten appstore. Alleen Windows heeft het nu na jaren ook eindelijk nageaapt.
Heeft niet alleen met marktaandeel te maken. Apple en Linux systemen zijn qua ontwerp gewoon veiliger dan Windows.
Het enige waar Microsoft echt het beste in is is marketing.
En dit is geen OS bashing maar helaas de waarheid. Nooit begrepen waarom Microsoft zulke inferieure software levert terwijl zoveel personeel in dienst hebben.
Niet over OS-bashing lullen karma4-vogel! Microsoft is in talloze rechtzaken verwikkeld geweest om haar discutable gedrag en marketing. Veel maar dan haar concurrenten dat ooit zijn geweest dus de aandacht af proberen te leiden met referenties naar anderen is niet erg zinvol.
https://en.wikipedia.org/wiki/Microsoft_litigation
Zo FOSS, het nieuwe jaar begint goed! Meteen lekker hakken, in de eerste post meteen de discussie de nutteloze kant opsturen richting closed source vs. open source (die "discussie" woedt al jaren en is wordt vooral vormgegeven door zoveel mogelijk geschreeuw over en weer), de tweede post trek je onnodig Microsoft erbij, de derde posting gaat de ad hominem kant op en de vierde gaat ook lekker. Wat dacht je ervan om dit soort non-discussies achterwege te laten, een keer diep adem te halen, alles van je af te laten glijden en 2018 gewoon lekker relaxed te beginnen? Komt alles vast goed.
Fijn 2018 iedereen, dat het maar een veilig jaar mag worden met interessante ontwikkelingen.
//zet kak-stemmetje op:
Oh ik ben toch zoo veilig met mijn macbook: want ik betaal heel veel en kijk alu case, mooi he?
//kak-stemmetje off
rot toch op rand debiel
p.s. ook ik ben zo een saaie noob admin die nog nooit een droevige apple fan aan de lijn heeft gehad die een beveiliging gerelateerd probleem had. Tegenwoordig hang ik gewoon op... sorry hoor DOEI,
koop/investeer in echte hardware/software/service!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
