MacOS was kwetsbaar voor aanval via kwaadaardig audiobestand
Apple heeft tientallen kwetsbaarheden in macOS en iOS verholpen, waaronder een beveiligingslek waardoor een aanvaller via een kwaadaardig audiobestand willekeurige code op Mac-computers had kunnen uitvoeren. Met macOS Catalina 10.15.1, Security Update 2019-001 en Security Update 2019-006 zijn in totaal 33 lekken verholpen.
Niet alleen bij het verwerken van een kwaadaardig audiobestand was 'arbitrary code execution' mogelijk, ook bij het verwerken van een kwaadaardige shader door het graphics-onderdeel van macOS kon zich dit voordoen. Het besturingssysteem was ook kwetsbaar voor aanvallen via kwaadaardige tekstbestanden en iBooks. Via deze formaten had een aanvaller gebruikersgegevens kunnen achterhalen. Updaten naar de nieuwste macOS-versie kan via de Mac App Store of de updatefunctie van macOS.
Voor gebruikers van iOS verschenen versie 13.2 en 12.4.3. Details van de laatstgenoemde versie zijn nog niet door Apple openbaar gemaakt. Met iOS 13.2 zijn 28 kwetsbaarheden gepatcht. Het gaat onder andere om dezelfde kwetsbaarheden die ook in macOS zijn verholpen. Verschillende van de lekken maakten het mogelijk voor een kwaadaardige app om code met systeemrechten uit te voeren.
Daarnaast kon het verwerken van een kwaadaardig contact tot spoofing van de gebruikersinterface leiden en had een aanvaller in de buurt van de gebruiker die tijdens het instellen van zijn iPhone of iPad verbinding met een kwaadaardig wifi-netwerk kunnen laten maken. Tevens behoren dertien kwetsbaarheden tot het verleden waarbij het verwerken van webcontent het uitvoeren van willekeurige code mogelijk maakte. Updaten naar iOS 13.2 kan via iTunes en de updatefunctie van iOS.
Reacties (14)
Apple: Impact: Processing a maliciously crafted audio file may lead to arbitrary code execution
Het is toch potdorie echt bij de beesten af dat zelfs muziek - gesteld, het muziek betreft - al niet meer heilig is voor het criminele tuig dat de digitale wereld teistert. Gelijk aan ziekenhuizen bestoken met ransomware.... Neen, voor niets deinst het 100 % on-scrupuleuze schorem terug, als het maar 'bling bling' oplevert.Akelig!
Door Wilbert Wintergaard:
Akelig!
Apple: Impact: Processing a maliciously crafted audio file may lead to arbitrary code execution
Het is toch potdorie echt bij de beesten af dat zelfs muziek - gesteld, het muziek betreft - al niet meer heilig is voor het criminele tuig dat de digitale wereld teistert. Gelijk aan ziekenhuizen bestoken met ransomware.... Neen, voor niets deinst het 100 % on-scrupuleuze schorem terug, als het maar 'bling bling' oplevert.Akelig!
Helemaal mee eens, ze hebben 33 lekken verholpen, deze keer. Ik blijf erbij, OpenBSD is en blijft het meest veilige OS. Microsoft, Google, Apple, Facebook en in de toekomst zeer waarschijnlijk ook Amazon zullen altijd onveilig blijven en dat komt vanwege de 'bling bling'. Zo is het.
Geen probleem, aangezien de automatische update-functie in MacOS Catalina sterk is verbeterd.
Ik kreeg vanmorgen direct een waarschuwing dat een update klaar stond. Beide systemen zijn nu bijgewerkt.
Ik kreeg vanmorgen direct een waarschuwing dat een update klaar stond. Beide systemen zijn nu bijgewerkt.
Door Wilbert Wintergaard:
Akelig!
Apple: Impact: Processing a maliciously crafted audio file may lead to arbitrary code execution
Het is toch potdorie echt bij de beesten af dat zelfs muziek - gesteld, het muziek betreft - al niet meer heilig is voor het criminele tuig dat de digitale wereld teistert. Gelijk aan ziekenhuizen bestoken met ransomware.... Neen, voor niets deinst het 100 % on-scrupuleuze schorem terug, als het maar 'bling bling' oplevert.Akelig!
Ik vind het eerder een faal van het OS en Apple, slechte engineering. Hoe kan een bedrijf met zoveel miljarden cash op de rekening, niet bereid zijn om wat meer geld uit te trekken, voor een beter design, development en controle.
Als ik dat geld had gehad, deed ik het beter iig.
Door donderslag:
Helemaal mee eens, ze hebben 33 lekken verholpen, deze keer. Ik blijf erbij, OpenBSD is en blijft het meest veilige OS. Microsoft, Google, Apple, Facebook en in de toekomst zeer waarschijnlijk ook Amazon zullen altijd onveilig blijven en dat komt vanwege de 'bling bling'. Zo is het.
Door Wilbert Wintergaard:
Akelig!
Apple: Impact: Processing a maliciously crafted audio file may lead to arbitrary code execution
Het is toch potdorie echt bij de beesten af dat zelfs muziek - gesteld, het muziek betreft - al niet meer heilig is voor het criminele tuig dat de digitale wereld teistert. Gelijk aan ziekenhuizen bestoken met ransomware.... Neen, voor niets deinst het 100 % on-scrupuleuze schorem terug, als het maar 'bling bling' oplevert.Akelig!
Helemaal mee eens, ze hebben 33 lekken verholpen, deze keer. Ik blijf erbij, OpenBSD is en blijft het meest veilige OS. Microsoft, Google, Apple, Facebook en in de toekomst zeer waarschijnlijk ook Amazon zullen altijd onveilig blijven en dat komt vanwege de 'bling bling'. Zo is het.
Als ik iets serieus zou bouwen, zou ik ook waarschijnlijk openbsd gebruiken.
Door Wilbert Wintergaard:
Akelig!
Apple: Impact: Processing a maliciously crafted audio file may lead to arbitrary code execution
Het is toch potdorie echt bij de beesten af dat zelfs muziek - gesteld, het muziek betreft - al niet meer heilig is voor het criminele tuig dat de digitale wereld teistert. Gelijk aan ziekenhuizen bestoken met ransomware.... Neen, voor niets deinst het 100 % on-scrupuleuze schorem terug, als het maar 'bling bling' oplevert.Akelig!
Daarom is het verstandig om je kleine kinderen niet met lucifertjes en brandspiritus te laten spelen, maar onder ouderlijk toezicht in een schone zandbank met schepjes en zeefjes. Dat voorkomt veel pleisters en gehuil.
ank@sandbox:~$ firejail --top
PID User RES(KiB) SHR(KiB) CPU% Prcs Uptime Command
2102 ank 125648 70592 4.0 3 03:51:58 firejail /usr/bin/rhythmbox
3324 ank 214312 117444 0.3 4 38:17:45 firejail /usr/bin/libreoffice
3363 ank 562276 360384 2.2 6 72:07:34 firejail --private /bin/firefox
4969 ank 68808 54696 0.0 3 00:19:39 firejail --net=none /usr/bin/vlc
PID User RES(KiB) SHR(KiB) CPU% Prcs Uptime Command
2102 ank 125648 70592 4.0 3 03:51:58 firejail /usr/bin/rhythmbox
3324 ank 214312 117444 0.3 4 38:17:45 firejail /usr/bin/libreoffice
3363 ank 562276 360384 2.2 6 72:07:34 firejail --private /bin/firefox
4969 ank 68808 54696 0.0 3 00:19:39 firejail --net=none /usr/bin/vlc
Ik laat ze gerust 's middags in de zandbak spelen, met de robuste bouwvak radio van mijn man, maar liever niet met mijn dure platenspeler en collectie vinyl langspeelplaten. Er zijn grenzen.
Met de vriendelijke groeten, van juf Ank.
Door donderslag: Ik blijf erbij, OpenBSD is en blijft het meest veilige OS.
Dan hoop ik toch echt voor je, mocht je OpenBSD hebben opgezadeld hebben met Gnome, dat je de gebruikte GUI applicaties ook in een Capsicum sandbox of zoiets plaatst, want anders is de hele inspanning om OpenBSD te gaan gebruiken misschien helemaal voor niets geweest. Dan had je beter AppVM isolatie onder Qubes OS kunnen gebruiken.
30-10-2019, 18:00 door
spatieman
Door Anoniem:
Ik vind het eerder een faal van het OS en Apple, slechte engineering. Hoe kan een bedrijf met zoveel miljarden cash op de rekening, niet bereid zijn om wat meer geld uit te trekken, voor een beter design, development en controle.
Als ik dat geld had gehad, deed ik het beter iig.
Door Wilbert Wintergaard:
Akelig!
Apple: Impact: Processing a maliciously crafted audio file may lead to arbitrary code execution
Het is toch potdorie echt bij de beesten af dat zelfs muziek - gesteld, het muziek betreft - al niet meer heilig is voor het criminele tuig dat de digitale wereld teistert. Gelijk aan ziekenhuizen bestoken met ransomware.... Neen, voor niets deinst het 100 % on-scrupuleuze schorem terug, als het maar 'bling bling' oplevert.Akelig!
Ik vind het eerder een faal van het OS en Apple, slechte engineering. Hoe kan een bedrijf met zoveel miljarden cash op de rekening, niet bereid zijn om wat meer geld uit te trekken, voor een beter design, development en controle.
Als ik dat geld had gehad, deed ik het beter iig.
ik zou zeggen, koop een android !, dan weet je zeker dat het nooit gepatched wordt.
Door Anoniem:
Daarom is het verstandig om je kleine kinderen niet met lucifertjes en brandspiritus te laten spelen, maar onder ouderlijk toezicht in een schone zandbank met schepjes en zeefjes. Dat voorkomt veel pleisters en gehuil.
Ik laat ze gerust 's middags in de zandbak spelen, met de robuste bouwvak radio van mijn man, maar liever niet met mijn dure platenspeler en collectie vinyl langspeelplaten. Er zijn grenzen.
Met de vriendelijke groeten, van juf Ank.
Door Wilbert Wintergaard:
Akelig!
Apple: Impact: Processing a maliciously crafted audio file may lead to arbitrary code execution
Het is toch potdorie echt bij de beesten af dat zelfs muziek - gesteld, het muziek betreft - al niet meer heilig is voor het criminele tuig dat de digitale wereld teistert. Gelijk aan ziekenhuizen bestoken met ransomware.... Neen, voor niets deinst het 100 % on-scrupuleuze schorem terug, als het maar 'bling bling' oplevert.Akelig!
Daarom is het verstandig om je kleine kinderen niet met lucifertjes en brandspiritus te laten spelen, maar onder ouderlijk toezicht in een schone zandbank met schepjes en zeefjes. Dat voorkomt veel pleisters en gehuil.
ank@sandbox:~$ firejail --top
PID User RES(KiB) SHR(KiB) CPU% Prcs Uptime Command
2102 ank 125648 70592 4.0 3 03:51:58 firejail /usr/bin/rhythmbox
3324 ank 214312 117444 0.3 4 38:17:45 firejail /usr/bin/libreoffice
3363 ank 562276 360384 2.2 6 72:07:34 firejail --private /bin/firefox
4969 ank 68808 54696 0.0 3 00:19:39 firejail --net=none /usr/bin/vlc
PID User RES(KiB) SHR(KiB) CPU% Prcs Uptime Command
2102 ank 125648 70592 4.0 3 03:51:58 firejail /usr/bin/rhythmbox
3324 ank 214312 117444 0.3 4 38:17:45 firejail /usr/bin/libreoffice
3363 ank 562276 360384 2.2 6 72:07:34 firejail --private /bin/firefox
4969 ank 68808 54696 0.0 3 00:19:39 firejail --net=none /usr/bin/vlc
Ik laat ze gerust 's middags in de zandbak spelen, met de robuste bouwvak radio van mijn man, maar liever niet met mijn dure platenspeler en collectie vinyl langspeelplaten. Er zijn grenzen.
Met de vriendelijke groeten, van juf Ank.
Kijk, nog iemand met verstand, en dat op dit forum.
Door spatieman:
ik zou zeggen, koop een android !, dan weet je zeker dat het nooit gepatched wordt.
Door Anoniem:
Ik vind het eerder een faal van het OS en Apple, slechte engineering. Hoe kan een bedrijf met zoveel miljarden cash op de rekening, niet bereid zijn om wat meer geld uit te trekken, voor een beter design, development en controle.
Als ik dat geld had gehad, deed ik het beter iig.
Door Wilbert Wintergaard:
Akelig!
Apple: Impact: Processing a maliciously crafted audio file may lead to arbitrary code execution
Het is toch potdorie echt bij de beesten af dat zelfs muziek - gesteld, het muziek betreft - al niet meer heilig is voor het criminele tuig dat de digitale wereld teistert. Gelijk aan ziekenhuizen bestoken met ransomware.... Neen, voor niets deinst het 100 % on-scrupuleuze schorem terug, als het maar 'bling bling' oplevert.Akelig!
Ik vind het eerder een faal van het OS en Apple, slechte engineering. Hoe kan een bedrijf met zoveel miljarden cash op de rekening, niet bereid zijn om wat meer geld uit te trekken, voor een beter design, development en controle.
Als ik dat geld had gehad, deed ik het beter iig.
ik zou zeggen, koop een android !, dan weet je zeker dat het nooit gepatched wordt.
Jij bent precies de definitie van fan boy. Meteen beginnen te jammeren als een klein kind ja maar hij doet het ook. Als google dit overkomt met android vind ik net zo'n grote faal.
Als een klein clubje iets als QubeOS (of was het CubeOS) kan maken, waarom dan niet die grote bedrijven, iets wat nog veiliger en beter is. Met zoveel meer resources
Android heeft al geruime tijd dat bijvoorbeeld het mac adres wijzigd per periode?/reboot, zo iets simpels zit volgens mij nog steeds niet in ios.
Je bent gewoon dom als je je hersens niet gebruikt, en alles wat apple je voorschoteld aanneemt.
ik zou zeggen, koop een android !, dan weet je zeker dat het nooit gepatched wordt.
Dat klopt gewoon niet. Je moet een duurder toestel kopen. Die worden wel bijgewerkt.Door Anoniem:
Kijk, nog iemand met verstand, en dat op dit forum.
Door Anoniem:
Daarom is het verstandig om je kleine kinderen niet met lucifertjes en brandspiritus te laten spelen, maar onder ouderlijk toezicht in een schone zandbank met schepjes en zeefjes. Dat voorkomt veel pleisters en gehuil.
Ik laat ze gerust 's middags in de zandbak spelen, met de robuste bouwvak radio van mijn man, maar liever niet met mijn dure platenspeler en collectie vinyl langspeelplaten. Er zijn grenzen.
Met de vriendelijke groeten, van juf Ank.
Door Wilbert Wintergaard:
Akelig!
Apple: Impact: Processing a maliciously crafted audio file may lead to arbitrary code execution
Het is toch potdorie echt bij de beesten af dat zelfs muziek - gesteld, het muziek betreft - al niet meer heilig is voor het criminele tuig dat de digitale wereld teistert. Gelijk aan ziekenhuizen bestoken met ransomware.... Neen, voor niets deinst het 100 % on-scrupuleuze schorem terug, als het maar 'bling bling' oplevert.Akelig!
Daarom is het verstandig om je kleine kinderen niet met lucifertjes en brandspiritus te laten spelen, maar onder ouderlijk toezicht in een schone zandbank met schepjes en zeefjes. Dat voorkomt veel pleisters en gehuil.
ank@sandbox:~$ firejail --top
PID User RES(KiB) SHR(KiB) CPU% Prcs Uptime Command
2102 ank 125648 70592 4.0 3 03:51:58 firejail /usr/bin/rhythmbox
3324 ank 214312 117444 0.3 4 38:17:45 firejail /usr/bin/libreoffice
3363 ank 562276 360384 2.2 6 72:07:34 firejail --private /bin/firefox
4969 ank 68808 54696 0.0 3 00:19:39 firejail --net=none /usr/bin/vlc
PID User RES(KiB) SHR(KiB) CPU% Prcs Uptime Command
2102 ank 125648 70592 4.0 3 03:51:58 firejail /usr/bin/rhythmbox
3324 ank 214312 117444 0.3 4 38:17:45 firejail /usr/bin/libreoffice
3363 ank 562276 360384 2.2 6 72:07:34 firejail --private /bin/firefox
4969 ank 68808 54696 0.0 3 00:19:39 firejail --net=none /usr/bin/vlc
Ik laat ze gerust 's middags in de zandbak spelen, met de robuste bouwvak radio van mijn man, maar liever niet met mijn dure platenspeler en collectie vinyl langspeelplaten. Er zijn grenzen.
Met de vriendelijke groeten, van juf Ank.
Kijk, nog iemand met verstand, en dat op dit forum.
Door Anoniem:
ik zou zeggen, koop een android !, dan weet je zeker dat het nooit gepatched wordt.
Dat klopt gewoon niet. Je moet een duurder toestel kopen. Die worden wel bijgewerkt.Niet eens hoor, een tweedehands welke gesupport wordt door iets als lineage os is al voldoende
Door Anoniem:
Of koop een gewone telefoon met snoer. Die hoeft nooit worden bijgewerkt. Heeft ook de genoemde kwetsbaarheid niet want het heeft geen operating system.ik zou zeggen, koop een android !, dan weet je zeker dat het nooit gepatched wordt.
Dat klopt gewoon niet. Je moet een duurder toestel kopen. Die worden wel bijgewerkt.
04-11-2019, 12:58 door
hanspaint
Ik vind het eerder een faal van het OS en Apple, slechte engineering. Hoe kan een bedrijf met zoveel miljarden cash op de rekening, niet bereid zijn om wat meer geld uit te trekken, voor een beter design, development en controle.
Als ik dat geld had gehad, deed ik het beter iig.[/quote]
Denken dat ja alles kunt oplossen met meer geld moet je maar aan het politiek onbenul overlaten. Er is niets mis met het design van macos of ios. Software is nou eenmaal complex en denken dat dit foutloos kan met meer geld is een utopie.
Als ik dat geld had gehad, deed ik het beter iig.[/quote]
Denken dat ja alles kunt oplossen met meer geld moet je maar aan het politiek onbenul overlaten. Er is niets mis met het design van macos of ios. Software is nou eenmaal complex en denken dat dit foutloos kan met meer geld is een utopie.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
