image

Google onthult ongepatcht beveiligingslek in macOS

maandag 4 maart 2019, 10:26 door Redactie, 9 reacties

Google heeft een ongepatcht beveiligingslek in de macOS-kernel openbaar gemaakt omdat Apple niet binnen de gestelde deadline met een patch is gekomen. Via de kwetsbaarheid kan een aanvaller die al toegang tot een systeem heeft aanpassingen aan gemounte bestandssysteem-images maken, zonder dat het besturingssysteem hier weet van heeft.

De kwetsbaarheid, waarvan de impact als "High" is beoordeeld, werd op 30 november vorig jaar door Google-onderzoeker Ian Beer aan Apple gerapporteerd. Google geeft organisaties die het over kwetsbaarheden informeert 90 dagen de tijd om het probleem te verhelpen. Die deadline is nu verlopen, waarop de details en een proof-of-concept om het lek te demonstreren openbaar zijn gemaakt.

Google-onderzoeker Ben Hawkes merkt op dat er contact is geweest met Apple en het bedrijf aan een update werkt. "Apple wil dit probleem in een toekomstige versie oplossen en we werken samen om de opties voor een patch te beoordelen", aldus Hawkes. In het verleden heeft Google ook geregeld ongepatchte beveiligingslekken in Windows en andere software openbaar gemaakt.

Reacties (9)
04-03-2019, 11:19 door Anoniem
Vind ik eigenlijk toch wel weer erg tof van Google.
MacOS is ten slotte een concurrent.
04-03-2019, 12:31 door Anoniem
Zal wel weer een 'storm in een glas water' zijn Google kennende.
Zodra iemand hen onderuit haalt dan gaan ze op zoek bij degene die hun kwetsbaarheden openbaar gemaakt heeft en zo doet Google dat.
Misschien vinden hun dat lek kritiek of high en denkt Apple daar heel anders over.
04-03-2019, 12:33 door Anoniem
Door Anoniem: Vind ik eigenlijk toch wel weer erg tof van Google.
MacOS is ten slotte een concurrent.
Stel dat ik een kwetsbaarheid van uw woning overal in de media bekend maak, zodat iedere inbreker gratis bij kan shoppen.

Vindt u dat dan ook tof?

Of zou er nog een morele wet zijn die het bekendmaken ervan zou kritiseren?
04-03-2019, 13:24 door Anoniem
Door Anoniem:
Door Anoniem: Vind ik eigenlijk toch wel weer erg tof van Google.
MacOS is ten slotte een concurrent.
Stel dat ik een kwetsbaarheid van uw woning overal in de media bekend maak, zodat iedere inbreker gratis bij kan shoppen.

Vindt u dat dan ook tof?

Of zou er nog een morele wet zijn die het bekendmaken ervan zou kritiseren?

Dit is natuurlijk geen vergelijking. Het betere vergelijking zou zijn, dat je een fout hebt ontdekt in een slot. Dat het gemeldt is bij de leverancier en dat die er niets aan doet. Dan zou ik als gebruiker wel graag op de hoogte gesteld willen worden van het probleem. Zodat ik zelf maatregelen kan nemen.

Die 90 dagen is nog ruim. Er zijn organisaties en landen die adviseren om al na 30 dagen een openbare melding te doen.

Wat me dan wel weer opvalt, is dat niemand schreeuwt als Microsoft na 90 dagen een lek in een Google product openbaar maakt.

Peter
04-03-2019, 13:27 door Anoniem
Door Anoniem: Vind ik eigenlijk toch wel weer erg tof van Google.
MacOS is ten slotte een concurrent.

Slechte zaak van Google maar ook slecht van Apple dat ze een high risk nog niet gepatched hebben.
Ach, Google jaagt vooral op anderen terwijl ze zelf een winkeltje (playstore) waar de grootste bagger in staat die je je maar kunt voorstellen.
04-03-2019, 13:33 door Anoniem
Vroeger werden kwetsbaarheden direct openbaar gemaakt. Dat werd immoreel bevonden. Tegenwoordig hanteren veel onderzoekers de termijn van 90 dagen. Onderzoekers maken de kwetsbaarheid bekend aan de software producent en geven 90 dagen om het te repareren. 90 dagen voordat zei de kwetsbaarheid publiek maken.

Er zijn tegenwoordig ook genoeg voorbeelden waarbij de onderzoeker en producent de publicatiedatum afspreken, soms later dan 90 dagen. De producent publiceert de ene dag een patch, en een dag later publiceert de onderzoeker de kwetsbaarheid.

Het is immoreel om kwestbaarheiden niet te publiceren, omdat dit vaak het enige middel is om producenten te dwingen patches te maken. Als onderzoeker kwetsbaarheden niet publiceren, dat blijven ze bestaan ... zodat kwaadwillenden ze kunnen en zullen vinden.
04-03-2019, 15:15 door Anoniem
Door Anoniem:
Door Anoniem: Vind ik eigenlijk toch wel weer erg tof van Google.
MacOS is ten slotte een concurrent.

Slechte zaak van Google maar ook slecht van Apple dat ze een high risk nog niet gepatched hebben.
Ach, Google jaagt vooral op anderen terwijl ze zelf een winkeltje (playstore) waar de grootste bagger in staat die je je maar kunt voorstellen.

Jij kunt iets bagger vinden en daar een negatief waardeoordeel aan hangen. Maar de bouwers van bijvoorbeeld de tweede maasvlakte zijn maar wat blij met bagger. Wat jij dus met bagger bedoeld, weet ik niet.

Daarnaast zijn de meeste apps in de playstore van Android niet van Google, maar van derde partijen. Als daar kwetsbaarheden in zitten, moet je dat bij de makers melden. Wat Google al doet: https://www.security.nl/posting/599668/Google+helpt+ontwikkelaars+bij+beveiligen+van+1+miljoen+apps

En ook Microsoft en Apple melden kwetsbaarheden, die ze in Google producten hebben gevonden, na 90 dagen.

Peter
04-03-2019, 17:05 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Vind ik eigenlijk toch wel weer erg tof van Google.
MacOS is ten slotte een concurrent.

Slechte zaak van Google maar ook slecht van Apple dat ze een high risk nog niet gepatched hebben.
Ach, Google jaagt vooral op anderen terwijl ze zelf een winkeltje (playstore) waar de grootste bagger in staat die je je maar kunt voorstellen.

Jij kunt iets bagger vinden en daar een negatief waardeoordeel aan hangen. Maar de bouwers van bijvoorbeeld de tweede maasvlakte zijn maar wat blij met bagger. Wat jij dus met bagger bedoeld, weet ik niet.

Daarnaast zijn de meeste apps in de playstore van Android niet van Google, maar van derde partijen. Als daar kwetsbaarheden in zitten, moet je dat bij de makers melden. Wat Google al doet: https://www.security.nl/posting/599668/Google+helpt+ontwikkelaars+bij+beveiligen+van+1+miljoen+apps

En ook Microsoft en Apple melden kwetsbaarheden, die ze in Google producten hebben gevonden, na 90 dagen.

Peter

Je weet prima wat er met bagger bedoeld wordt. Google voert niet of nauwelijks controle uit op de software die in de playstore staat, dat doet Apple veel beter. En dat is leuk, contact opnemen met de maker van de malware dat zijn malware werkt, of juist niet. :)

Tevens levert Google Andoird aan telefoonboeren zonder daarbij een patch policy af te spreken, iedere telefoonboer die niet patched bezorgd Android een nog slechtere naam m.b.t. security. Dus Google, focus op je eigen tekortkomingen voordat je anderen de maat neemt.
04-03-2019, 21:19 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Vind ik eigenlijk toch wel weer erg tof van Google.
MacOS is ten slotte een concurrent.

Slechte zaak van Google maar ook slecht van Apple dat ze een high risk nog niet gepatched hebben.
Ach, Google jaagt vooral op anderen terwijl ze zelf een winkeltje (playstore) waar de grootste bagger in staat die je je maar kunt voorstellen.

Jij kunt iets bagger vinden en daar een negatief waardeoordeel aan hangen. Maar de bouwers van bijvoorbeeld de tweede maasvlakte zijn maar wat blij met bagger. Wat jij dus met bagger bedoeld, weet ik niet.

Daarnaast zijn de meeste apps in de playstore van Android niet van Google, maar van derde partijen. Als daar kwetsbaarheden in zitten, moet je dat bij de makers melden. Wat Google al doet: https://www.security.nl/posting/599668/Google+helpt+ontwikkelaars+bij+beveiligen+van+1+miljoen+apps

En ook Microsoft en Apple melden kwetsbaarheden, die ze in Google producten hebben gevonden, na 90 dagen.

Peter

Je weet prima wat er met bagger bedoeld wordt. Google voert niet of nauwelijks controle uit op de software die in de playstore staat, dat doet Apple veel beter. En dat is leuk, contact opnemen met de maker van de malware dat zijn malware werkt, of juist niet. :)

Tevens levert Google Andoird aan telefoonboeren zonder daarbij een patch policy af te spreken, iedere telefoonboer die niet patched bezorgd Android een nog slechtere naam m.b.t. security. Dus Google, focus op je eigen tekortkomingen voordat je anderen de maat neemt.

Het vervelende van al die grote jongens is dat ze als geen ander bagger maken. Maar het verkopen als kunstmest, en iedereen wijs maken dat de hele wereld daar van op gaat bloeiien. Terwijl ze alle jonge plantjes verstikken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.