Apple patcht SSL-lek en 32 andere lekken in Mac OS X
Apple heeft zoals aangekondigd een update voor Mac OS X uitgebracht die het vorige week onthulde SSL-lek verhelpt, alsmede 32 andere lekken. Via de lekken, die zich in verschillende onderdelen van het besturingssysteem bevinden, kon een aanvaller in het ergste geval willekeurige code uitvoeren.
Toch gaat de meeste aandacht uit naar het SSL-lek, waardoor het mogelijk was om versleuteld verkeer van Mac-gebruikers te onderscheppen zonder dat die een waarschuwing kregen. Het probleem zou bij Mavericks zijn geïntroduceerd. Ook iOS was kwetsbaar, maar de patch hiervoor verscheen vorige week al.
Zes van de 33 verholpen lekken werden door werknemers van Google ontdekt. Het gaat om kwetsbaarheden in Apple Type Services (ATS) waardoor de App sandbox omzeild kon worden. Verder ontdekte één van de Google-medewerkers een lek in QuickLook. Het openen van een kwaadaardig Word document maakte het mogelijk om willekeurige code uit te voeren. Naast QuickLook werden er ook zes kwetsbaarheden in QuickTime gepatcht.
Tevens zijn twee lekken in de videokaartdriver van chipfabrikant Nvidia verholpen. Via een kwaadaardige applicatie was het voor aanvallers mogelijk om kwaadaardige code in de videokaart uit te voeren. Een andere patch die opvalt is er één voor CVE-2011-3389. Dit lek werd in 2011 ontdekt en staat beter bekend als de BEAST-aanval.
Hierdoor was het voor aanvallers mogelijk om in bepaalde gevallen door SSL-beveiligde gegevens te onderscheppen en ontsleutelen. Apple heeft nu een oplossing aan Mac OS X Lion toegevoegd die gebruikers hier tegen beschermt. Mac OS X Mavericks 10.9.2 en Security Update 2014-001 voor andere versies van OS X zijn via de Mac App Store en Apple.com te downloaden.
Heeft Apple dat bewust gedaan voor de veiligheid,omdat ook het ingebouwde updateprogramma in OSX het ssl lek bevatte?.
'Safari 6.1.2 and Safari 7.0.2
OS X Lion v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.1
25 Feb 2014'
Secure verbindingen blijven kennelijk lastig
Blijvend wonderlijk onder deze https link : https://support.apple.com/kb/HT1222
Gemixte content, op nota bene een security info page, dat in bijv. Firefox preventief deels geblokkeerd wordt en dus een visueel manke pagina oplevert.
https://support.mozilla.org/en-US/kb/how-does-content-isnt-secure-affect-my-safety?
De nieuwe Quicktime is overigens voor Windows.
Vanmorgen had ik zelf bij Apple dus de update gedownload.
Misschien was ik wel erg vroeg met de update,waardoor ik hem dus nog niet op beide computers zelf via het updatekanaal binnen kreeg.
Misschien was Apple nog bezig met het synchroniseren van zijn servers,om de update beschikbaar te maken.
Zal heel best kunnen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.