Google onthult ongepatcht beveiligingslek in macOS
Google heeft een ongepatcht beveiligingslek in de macOS-kernel openbaar gemaakt omdat Apple niet binnen de gestelde deadline met een patch is gekomen. Via de kwetsbaarheid kan een aanvaller die al toegang tot een systeem heeft aanpassingen aan gemounte bestandssysteem-images maken, zonder dat het besturingssysteem hier weet van heeft.
De kwetsbaarheid, waarvan de impact als "High" is beoordeeld, werd op 30 november vorig jaar door Google-onderzoeker Ian Beer aan Apple gerapporteerd. Google geeft organisaties die het over kwetsbaarheden informeert 90 dagen de tijd om het probleem te verhelpen. Die deadline is nu verlopen, waarop de details en een proof-of-concept om het lek te demonstreren openbaar zijn gemaakt.
Google-onderzoeker Ben Hawkes merkt op dat er contact is geweest met Apple en het bedrijf aan een update werkt. "Apple wil dit probleem in een toekomstige versie oplossen en we werken samen om de opties voor een patch te beoordelen", aldus Hawkes. In het verleden heeft Google ook geregeld ongepatchte beveiligingslekken in Windows en andere software openbaar gemaakt.
MacOS is ten slotte een concurrent.
Zodra iemand hen onderuit haalt dan gaan ze op zoek bij degene die hun kwetsbaarheden openbaar gemaakt heeft en zo doet Google dat.
Misschien vinden hun dat lek kritiek of high en denkt Apple daar heel anders over.
MacOS is ten slotte een concurrent.
Vindt u dat dan ook tof?
Of zou er nog een morele wet zijn die het bekendmaken ervan zou kritiseren?
MacOS is ten slotte een concurrent.
Vindt u dat dan ook tof?
Of zou er nog een morele wet zijn die het bekendmaken ervan zou kritiseren?
Dit is natuurlijk geen vergelijking. Het betere vergelijking zou zijn, dat je een fout hebt ontdekt in een slot. Dat het gemeldt is bij de leverancier en dat die er niets aan doet. Dan zou ik als gebruiker wel graag op de hoogte gesteld willen worden van het probleem. Zodat ik zelf maatregelen kan nemen.
Die 90 dagen is nog ruim. Er zijn organisaties en landen die adviseren om al na 30 dagen een openbare melding te doen.
Wat me dan wel weer opvalt, is dat niemand schreeuwt als Microsoft na 90 dagen een lek in een Google product openbaar maakt.
Peter
MacOS is ten slotte een concurrent.
Slechte zaak van Google maar ook slecht van Apple dat ze een high risk nog niet gepatched hebben.
Ach, Google jaagt vooral op anderen terwijl ze zelf een winkeltje (playstore) waar de grootste bagger in staat die je je maar kunt voorstellen.
Er zijn tegenwoordig ook genoeg voorbeelden waarbij de onderzoeker en producent de publicatiedatum afspreken, soms later dan 90 dagen. De producent publiceert de ene dag een patch, en een dag later publiceert de onderzoeker de kwetsbaarheid.
Het is immoreel om kwestbaarheiden niet te publiceren, omdat dit vaak het enige middel is om producenten te dwingen patches te maken. Als onderzoeker kwetsbaarheden niet publiceren, dat blijven ze bestaan ... zodat kwaadwillenden ze kunnen en zullen vinden.
MacOS is ten slotte een concurrent.
Slechte zaak van Google maar ook slecht van Apple dat ze een high risk nog niet gepatched hebben.
Ach, Google jaagt vooral op anderen terwijl ze zelf een winkeltje (playstore) waar de grootste bagger in staat die je je maar kunt voorstellen.
Jij kunt iets bagger vinden en daar een negatief waardeoordeel aan hangen. Maar de bouwers van bijvoorbeeld de tweede maasvlakte zijn maar wat blij met bagger. Wat jij dus met bagger bedoeld, weet ik niet.
Daarnaast zijn de meeste apps in de playstore van Android niet van Google, maar van derde partijen. Als daar kwetsbaarheden in zitten, moet je dat bij de makers melden. Wat Google al doet: https://www.security.nl/posting/599668/Google+helpt+ontwikkelaars+bij+beveiligen+van+1+miljoen+apps
En ook Microsoft en Apple melden kwetsbaarheden, die ze in Google producten hebben gevonden, na 90 dagen.
Peter
MacOS is ten slotte een concurrent.
Slechte zaak van Google maar ook slecht van Apple dat ze een high risk nog niet gepatched hebben.
Ach, Google jaagt vooral op anderen terwijl ze zelf een winkeltje (playstore) waar de grootste bagger in staat die je je maar kunt voorstellen.
Jij kunt iets bagger vinden en daar een negatief waardeoordeel aan hangen. Maar de bouwers van bijvoorbeeld de tweede maasvlakte zijn maar wat blij met bagger. Wat jij dus met bagger bedoeld, weet ik niet.
Daarnaast zijn de meeste apps in de playstore van Android niet van Google, maar van derde partijen. Als daar kwetsbaarheden in zitten, moet je dat bij de makers melden. Wat Google al doet: https://www.security.nl/posting/599668/Google+helpt+ontwikkelaars+bij+beveiligen+van+1+miljoen+apps
En ook Microsoft en Apple melden kwetsbaarheden, die ze in Google producten hebben gevonden, na 90 dagen.
Peter
Je weet prima wat er met bagger bedoeld wordt. Google voert niet of nauwelijks controle uit op de software die in de playstore staat, dat doet Apple veel beter. En dat is leuk, contact opnemen met de maker van de malware dat zijn malware werkt, of juist niet. :)
Tevens levert Google Andoird aan telefoonboeren zonder daarbij een patch policy af te spreken, iedere telefoonboer die niet patched bezorgd Android een nog slechtere naam m.b.t. security. Dus Google, focus op je eigen tekortkomingen voordat je anderen de maat neemt.
MacOS is ten slotte een concurrent.
Slechte zaak van Google maar ook slecht van Apple dat ze een high risk nog niet gepatched hebben.
Ach, Google jaagt vooral op anderen terwijl ze zelf een winkeltje (playstore) waar de grootste bagger in staat die je je maar kunt voorstellen.
Jij kunt iets bagger vinden en daar een negatief waardeoordeel aan hangen. Maar de bouwers van bijvoorbeeld de tweede maasvlakte zijn maar wat blij met bagger. Wat jij dus met bagger bedoeld, weet ik niet.
Daarnaast zijn de meeste apps in de playstore van Android niet van Google, maar van derde partijen. Als daar kwetsbaarheden in zitten, moet je dat bij de makers melden. Wat Google al doet: https://www.security.nl/posting/599668/Google+helpt+ontwikkelaars+bij+beveiligen+van+1+miljoen+apps
En ook Microsoft en Apple melden kwetsbaarheden, die ze in Google producten hebben gevonden, na 90 dagen.
Peter
Je weet prima wat er met bagger bedoeld wordt. Google voert niet of nauwelijks controle uit op de software die in de playstore staat, dat doet Apple veel beter. En dat is leuk, contact opnemen met de maker van de malware dat zijn malware werkt, of juist niet. :)
Tevens levert Google Andoird aan telefoonboeren zonder daarbij een patch policy af te spreken, iedere telefoonboer die niet patched bezorgd Android een nog slechtere naam m.b.t. security. Dus Google, focus op je eigen tekortkomingen voordat je anderen de maat neemt.
Het vervelende van al die grote jongens is dat ze als geen ander bagger maken. Maar het verkopen als kunstmest, en iedereen wijs maken dat de hele wereld daar van op gaat bloeiien. Terwijl ze alle jonge plantjes verstikken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
