Apple verhelpt kritieke lekken in MacOS, iOS, iTunes en Safari
Apple heeft beveiligingsupdates uitgebracht die kritieke kwetsbaarheden in onder andere MacOS, iOS, iTunes en Safari verhelpen. Via de beveiligingslekken had een aanvaller in het ergste geval volledige controle over het systeem kunnen krijgen, waarbij alleen het bezoeken van een website voldoende was.
Met iOS 13.4 en iPadOS 13.4 zijn in totaal dertig kwetsbaarheden in de besturingssystemen verholpen. Via de lekken had een aanvaller bluetooth-verkeer kunnen onderscheppen, was het mogelijk voor een aanvaller met toegang tot een vergrendelde iPhone om op berichten te reageren, zelfs wanneer het beantwoorden stond uitgeschakeld. Verder bleek dat de activiteiten tijdens private browsing onbedoeld door Screen Time konden worden opgeslagen.
De gevaarlijkste kwetsbaarheden zijn in WebKit opgelost, waar Safari gebruik van maakt. Alleen het bezoeken van een malafide of gecompromitteerde website zou voldoende zijn geweest om een aanvaller willekeurige code uit te laten voeren. Updaten naar de nieuwste versie kan via iTunes en de Software Update-functie.
MacOS
Voor Mac-gebruikers zijn macOS Catalina 10.15.4, Security Update 2020-002 Mojave en Security Update 2020-002 High Sierra verschenen. De updates verhelpen in totaal 27 kwetsbaarheden. Een van de beveiligingslekken bevond zich in Apple Mail en maakte het mogelijk voor een remote aanvaller om willekeurige JavaScript-code uit te laten voeren. Tevens bleek het mogelijk voor malafide apps om de controle op een digitale handtekening te omzeilen. Updaten kan via de updatefunctie van het besturingssysteem.
Voor macOS Mojave en macOS High Sierra is Safari 13.1 uitgekomen. De browserupdate, die standaard onderdeel van de Catalina-update is, lost elf kwetsbaarheden op. Tien daarvan bevonden zich in WebKit, dat Safari als browserengine gebruikt, en maakten het uitvoeren van willekeurige code mogelijk. Daarnaast is er een lek in Safari Downloads verholpen. Een kwaadaardig iframe had hierdoor de downloadinstellingen van een andere website kunnen gebruiken. Safari 13.1 is voor Mojave- en High Sierra-gebruikers te downloaden via de Mac App Store.
Voor Windowsgebruikers heeft Apple iTunes 12.10.5 uitgebracht, waarmee dertien kwetsbaarheden tot het verleden behoren. Via de beveiligingslekken zou een aanvaller op afstand willekeurige code kunnen uitvoeren als iTunes kwaadaardige webcontent zou verwerken. De update is te downloaden via Apple.com.
Lees ik niets over bij Apple zelf maar is toch vrij essentieel om te weten sinds welke software / plug-in cycli de kwetsbaarheden ook bij niet door Apple zelf ontwikkelde software tot kwetsbaarheden konden leiden en wat bijkomend de omvang is van rechtstreeks potentieel kwetsbare geraakte gegevens op gegevens-dragers mogelijk zijn beïnvloed (oneigenlijk gelezen, aangepast, beschadigd, gelezen etc).
Dan kunnen Super-users en applicatie-beheerders ook beter beheersmatig nadenken over de decentraal ondersteunde applicaties en centraal en decentraal bewaarde gegevens (logs, config bestanden, voorkeur instellingen, sleutels, id's, etc)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
