image

Apple patcht ernstige lekken in FaceTime, iOS en MacOS

woensdag 31 oktober 2018, 10:12 door Redactie, 8 reacties

Apple heeft belangrijke beveiligingsupdates voor macOS, iOS, Safari, iTunes en iCloud uitgebracht die een groot aantal kwetsbaarheden verhelpen, waaronder ernstige beveiligingslekken in FaceTime. IOS 12.1 verhelpt minimaal 32 kwetsbaarheden waardoor een aanvaller in het ergste geval willekeurige code op iPhones, iPads en iPods had kunnen uitvoeren.

Verschillende van de kwetsbaarheden bevonden zich in FaceTime of waren via de populaire communicatie-app te misbruiken. Het verwerken van een kwaadaardige video via FaceTime maakte het mogelijk om kwaadaardige code op het systeem uit te voeren. Een andere kwetsbaarheid in FaceTime zelf zorgde ervoor dat een aanvaller op afstand op het toestel van een slachtoffer een FaceTime-gesprek had kunnen starten. Verder kon het verbinden met een vpn-server ervoor zorgen dat er dns-verzoeken naar een dns-proxy lekten en had een aanvaller met fysieke toegang tot een vergrendeld scherm bepaalde zaken kunnen delen of video's kunnen bekijken.

Met de lancering van macOS Mojave 10.14.1, Security Update 2018-001 High Sierra en Security Update 2018-005 Sierra heeft Apple minstens 71 beveiligingslekken opgelost waardoor een aanvaller in het ergste geval willekeurige code met systeem- of kernelrechten had kunnen uitvoeren. Dit was bijvoorbeeld mogelijk door het installeren van een kwaadaardige app of het mounten van een speciaal geprepareerde NFS-netwerkshare.

In Safari 12.0.1 zijn toepasselijk een dozijn beveiligingslekken gepatcht. In het ergste geval had een aanvaller willekeurige code op het systeem kunnen uitvoeren. Alleen het bezoeken van bijvoorbeeld een gehackte website was hierbij voldoende geweest.

Windows

Voor Windows-gebruikers heeft Apple ook beveiligingsupdates beschikbaar gesteld. Met iTunes 12.9.1 voor Windows 7 en nieuwer behoren minstens 14 kwetsbaarheden tot het verleden en in iCloud voor Windows 7.8 zijn 13 beveiligingslekken gepatcht. In beide programma's gaat het om lekken waardoor een aanvaller in het ergste geval het onderliggende systeem had kunnen overnemen.

Aantal kwetsbaarheden

Het werkelijke aantal kwetsbaarheden dat Apple tijdens deze patchronde heeft gepatcht is onbekend. Het bedrijf maakt sommige gepatchte lekken namelijk pas op een later moment bekend. Iets dat het gisterenavond heeft gedaan met eerder verschenen updates voor macOS, iTunes, iCloud voor Windows, tvOS, watchOS en iOS. Daar zijn allerlei verholpen kwetsbaarheden aan toegevoegd die in het initiële beveiligingsbulletin niet stonden vermeld. Een werkwijze waar Google-onderzoekers onlangs flinke kritiek op hebben geuit.

De nu verschenen updates zijn verkrijgbaar via de website van Apple, iTunes, de automatische updatefunctie of de stores van Apple. Het volledige overzicht van alle beveiligingsbulletins is op deze pagina te vinden.

Reacties (8)
31-10-2018, 10:37 door Anoniem
Dit zijn hele gevaarlijke lekken, goed van Apple dat ze deze kwetsbaarheden nu hebben gefixed.
31-10-2018, 12:41 door Anoniem
Dit is hoeveel ze melden, maar mogelijk niet hoeveel ze werkelijk opgelost hebben.
Apple staat nu niet echt bekend om zijn openheid.
31-10-2018, 13:27 door Anoniem
Door Anoniem: Dit is hoeveel ze melden, maar mogelijk niet hoeveel ze werkelijk opgelost hebben.
Apple staat nu niet echt bekend om zijn openheid.

Vind je het gek, staatshackers zijn opzoek naar dit soort informatie om vervolgens teams in te zetten om kwetsbaarheden die niet gefixed of deels alleen gefixed zijn te exploiten.
Je bent het meest kwetsbare voor hacks van overheden wanneer je je updates nog niet binnen hebt gekregen.
31-10-2018, 13:45 door Anoniem
Door Anoniem: Dit is hoeveel ze melden, maar mogelijk niet hoeveel ze werkelijk opgelost hebben.
Apple staat nu niet echt bekend om zijn openheid.

Het is ook altijd wat.
31-10-2018, 14:11 door [Account Verwijderd]
Door Anoniem: Dit is hoeveel ze melden, maar mogelijk niet hoeveel ze werkelijk opgelost hebben.
Apple staat nu niet echt bekend om zijn openheid.

Zucht... daar gaan we weer: 2e reactie van 12:41 uur.... berstensvol subjectiviteit.
Heb je bronnen? URL's?
Bij voorbaat dank!
31-10-2018, 14:23 door jennifer
Ik ben fan van Mac producten, maar laatste tijd zijn er wel veel kwetsbaarheden. Overigens was je niet kwetsbaar voor deze lek als je je firewall aan had staan op Stealth modus.
31-10-2018, 16:06 door Anoniem
Door Balder:
Door Anoniem: Dit is hoeveel ze melden, maar mogelijk niet hoeveel ze werkelijk opgelost hebben.
Apple staat nu niet echt bekend om zijn openheid.

Zucht... daar gaan we weer: 2e reactie van 12:41 uur.... berstensvol subjectiviteit.
Heb je bronnen? URL's?
Bij voorbaat dank!

Natuurlijk, maar als je security had gevolgd, had je deze ook al gelezen:

https://www.security.nl/posting/583561/Google-onderzoeker+hekelt+Apple+over+niet+vermelden+van+lekken

En Apple staat nu niet bekend om zijn kwaliteiten de laatste tijd, en zal helemaal nooit zo snel een fout bekennen, Apple is immers almighty en heeft het nooit fout, immers de gebruikers doen het altijd fout.
En je zal maar een apple watch 4 hebben. https://tweakers.net/nieuws/145155/apple-trekt-watchos-51-update-terug-na-problemen-met-apple-watch-series-4.html
01-11-2018, 15:51 door spatieman
android bashing: Ach, lekken, koop maar een moderner toestel, misschien met geluk komen er updates( weet er helaas genoeg van, grr)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.