Malafide afbeelding kan aanvaller toegang tot iPhones en Macs geven
Apple waarschuwt eigenaren van iPhones, Macs en iPads voor een kwetsbaarheid waardoor een aanvaller via een malafide afbeelding willekeurige code op de apparaten kan uitvoeren. Het beveiligingslek, aangeduid als CVE-2024-1580, is aanwezig in twee onderdelen van de besturingssystemen, namelijk CoreMedia en WebRTC. Het Core Media framework van Apple wordt gebruikt voor het verwerken van media. WebRTC is een door Google ontwikkeld opensourceproject dat browsers van Real-Time Communicatie (RTC) voorziet, zoals online video.
Het beveiligingslek werd gevonden en gerapporteerd door Nick Galloway van Google Project Zero. Misbruik is mogelijk wanneer er een malafide afbeelding wordt verwerkt. Dit kan tot 'arbitrary code execution' leiden, aldus Apple. In de beveiligingsbulletins wordt geen melding gemaakt van misbruik van de kwetsbaarheid. Apple heeft het probleem verholpen in iOS 16.7.7 en iPadOS 16.7.7, iOS 17.4.1 en iPadOS 17.4.1, macOS Ventura 13.6.6, macOS Sonoma 14.4.1 en Safari 17.4.1 voor macOS Monterey en macOS Ventura. In het geval van Safari is alleen de WebRTC-kwetsbaarheid verholpen.
maar ik krijg hier toch wel het gevoel van NSA input bij...
Ik heb even de data erbij gepakt die geleverd werd door mijn leveranciers...
Dit is echt te belachelijk voor woorden...
Ik zou een stagiare 5 minuten les kunnen geven en die zou een exploit voor dit kunnen schrijven in nog eens 5 minuten.
Dit mag je niet meer als CVE classificeren.. dit IS een backdoor.
Maar wat kan ik daar mee behalve updates installeren?
Ik weet niet om welke afbeeldingen het gaat.
Maar wat kan ik daar mee behalve updates installeren?
Ik weet niet om welke afbeeldingen het gaat.
Tenzij je elke afbeelding forensisch gaat bestuderen core-media en webrtc kan uitschakelen beste gewoon updaten en niet verder over nadenken. Het is een slordige kwetsbaarheid die in een bepaalde vorm elke paar jaar weer terugkomt helaas.
Maar wat kan ik daar mee behalve updates installeren?
Ik weet niet om welke afbeeldingen het gaat.
Tenzij je elke afbeelding forensisch gaat bestuderen core-media en webrtc kan uitschakelen beste gewoon updaten en niet verder over nadenken. Het is een slordige kwetsbaarheid die in een bepaalde vorm elke paar jaar weer terugkomt helaas.
Dank voor je uitleg.
https://nvd.nist.gov/vuln/detail/CVE-2024-1580
Het lijkt wel of hetzelfde CVE-nummer voor twee dingen gebruikt wordt. Weet iemand hoe dit zit?
maar ik krijg hier toch wel het gevoel van NSA input bij...
[...]
Dit mag je niet meer als CVE classificeren.. dit IS een backdoor.
Heel veel van dit soort algoritmes zijn vanouds in C geïmplementeerd, en dat is een taal die geen enkele ingebouwde bescherming tegen missers bevat, zodat de programmeur maar een fout hoeft te maken in de manier waarop hij grenzen controleert (of dat domweg heeft nagelaten) en daar ga je. En software is echt razend ingewikkeld, fouten zijn makkelijk te maken en moeilijk te herkennen.
Het is al diverse keren eerder gebeurd dat via malafide nepafbeeldingen code kon worden uitgevoerd. Het hoeft niets met de NSA te maken te hebben en het hoeft niet bewust als backdoor ingebouwd te zijn.
maar ik krijg hier toch wel het gevoel van NSA input bij...
Ik heb even de data erbij gepakt die geleverd werd door mijn leveranciers...
Dit is echt te belachelijk voor woorden...
Ik zou een stagiare 5 minuten les kunnen geven en die zou een exploit voor dit kunnen schrijven in nog eens 5 minuten.
Dit mag je niet meer als CVE classificeren.. dit IS een backdoor.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.