Apple verhelpt actief aangevallen zerodaylekken in iOS en macOS
Apple heeft beveiligingsupdates uitgebracht voor twee actief aangevallen zerodaylekken in iOS en macOS. Via de kwetsbaarheden zou een aanvaller volledige controle over het systeem kunnen krijgen. De eerste kwetsbaarheid, CVE-2022-32893, bevindt zich in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Daarnaast maakt Safari op macOS gebruik van WebKit.
Door alleen een kwaadaardige of gecompromitteerde website te bezoeken of een besmette advertentie te zien kan een aanvaller willekeurige code op het systeem uitvoeren. Er is geen verdere interactie van gebruikers vereist. Dergelijke aanvallen worden ook wel een drive-by download genoemd. De tweede kwetsbaarheid, CVE-2022-32894, is aanwezig in de kernel van iOS, iPadOS en macOS.
Dit beveiligingslek geeft een aanvaller die al toegang tot het systeem heeft, of een malafide applicatie, de mogelijkheid om kernelrechten te krijgen. Via alleen deze kwetsbaarheid is het niet mogelijk om systemen op afstand over te nemen, maar het is mogelijk om CVE-2022-32893 en CVE-2022-32894 te combineren. Daarmee krijgt een aanvaller volledige controle over het systeem.
Beide kwetsbaarheden werden door een anonieme beveiligingsonderzoeker aan Apple gerapporteerd. Gebruikers wordt aangeraden om te updaten naar macOS Monterey 12.5.1 en iOS/iPadOS 15.6.1. Dit kan via ingebouwde updatefunctie of de Mac Appstore en het geval van iPhones en iPads via iTunes. Apple heeft geen details over de aanvallen gegeven.
Zodat ze een app kunnen forceren die de telefoon uit leest, of zeg, microfoon en camera kan aanzetten remote?
Zodat ze een app kunnen forceren die de telefoon uit leest, of zeg, microfoon en camera kan aanzetten remote?
Apple kan ook meekijken op afstand als je ze belt voor support. Al die extra vreemde toevoegingen aan iOS geeft alleen maar meer kwetsbaarheden.
Lopen continu achter de feiten aan.
Maar ons voortbestaan hangt inmiddels wel af van deze digitale infrastructuren.
En dit wordt tevens onze ondergang.
Een voorbeeld van een drive-by attack waarvan iedere willekeurige Apple gebruiker het slachtoffer kon worden.
Er bestaan veiliger systemen (Minix, Qubes en Graphene), maar die systemen vergen voor de gemiddelde kantoorklerk, die met Windows is opgegroeid, een te kostbare en tijdrovende herscholing, terwijl de verwende macOS gebruiker thuis niets liever doet dan zonder enig technisch benul icoontjes en knopjes aan te klikken.
Merk op dat in het genoemde rijtje van drie alternatieven Linux niet wordt genoemd, want ook de Linux desktops zijn in veel opzichten technisch achterhaald. We zullen het dus voorlopig moeten stellen met een achterhaalde techniek, todat er iets beters voorhanden is, dat ook nog eenvoudig te installeren is en idealiter door de leek te bedienen valt.
https://www.security.nl/posting/762905/Digitale+basisvaardigheden?
Dat zeg ik. Als je ze belt en vraagt of mee te kijken sturen ze een verzoek naar je toestel. Met je BroN. Zoek het zelf op, luilak.
Lopen continu achter de feiten aan.
Maar ons voortbestaan hangt inmiddels wel af van deze digitale infrastructuren.
En dit wordt tevens onze ondergang.
Ik denk dat het bewaarheid wordt wat U zegt.
We hebben alles te veel aan het Internet gehangen,geautomatiseerd.
De mens is slaaf geworden alleen denkt hij/zij dat hij vrij is.
Ik denk dat de Russen/Noor-Koreanen/Chinezen het liefst zien dat een totale crash gaat plaatsvinden.
Tegen het "Amerikaanse Internet"voor hun eigen onvrije systemen.
We zullen het meemaken.
De overheid heeft ook geen tegenmacht meer tegenover alle grote tech-bedrijven.
Ze hebben jarenlang gefaciliteerd,ze is nu uitgeput door alle crises.
Lopen continu achter de feiten aan.
Maar ons voortbestaan hangt inmiddels wel af van deze digitale infrastructuren.
En dit wordt tevens onze ondergang.
Lekker kort door de bocht die reactie lol. Inbrekers komen ook altijd huizen binnen met nieuwe handelingen.
Lopen continu achter de feiten aan.
Maar ons voortbestaan hangt inmiddels wel af van deze digitale infrastructuren.
En dit wordt tevens onze ondergang.
Lekker kort door de bocht die reactie lol. Inbrekers komen ook altijd huizen binnen met nieuwe handelingen.
Inderdaad systemen welke je gebruikt zijn nooit blijvend veilig te krijgen. Je zult met risico's moeten blijven omgaan war de zwakste schakel nog altijd de mens is. Zowel als beslissend (top executieve) dan wel in de uitvoerende rol. -> 42
Lopen continu achter de feiten aan.
Maar ons voortbestaan hangt inmiddels wel af van deze digitale infrastructuren.
En dit wordt tevens onze ondergang.
Lekker kort door de bocht die reactie lol. Inbrekers komen ook altijd huizen binnen met nieuwe handelingen.
De impact van een inbraak in een pand is wel van een andere orde dan die van een inbraak in het computersysteem van bijvoorbeeld een ziekenhuis of een elektriciteitscentrale of een wapensysteem.
De inbraak in een gebouw zal ons voortbestaan niet bedreigen.
Een inbraak in onze digitale infrastructuur kan wel degelijk tot totale chaos en uiteindelijk onze ondergang leiden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
