Apple dicht 147 kwetsbaarheden in OS X, iOS en Safari
Apple heeft gisteren updates voor Mac OS X, iOS en Safari uitgebracht, die bij elkaar opgeteld 147 lekken verhelpen. De grootste update was voor Mac OS X. Met OS X El Capitan (OS X 10.11) heeft Apple naast allerlei nieuwe features ook 101 kwetsbaarheden opgelost.
Via de kwetsbaarheden kon een aanvaller in het ergste geval willekeurige code uitvoeren. Ook bleek het mogelijk te zijn om toegang tot keychain-items te krijgen en Safari-gebruikers te volgen als ze private-browsing gebruikten. Verder kon een aanvaller via een man-in-the-middle SSL/TLS-verbindingen onderscheppen, SSL-verkeer ontsleutelen en RSA-privésleutels bepalen.
Het is nu ook niet meer mogelijk om met een kwaadaardige Apple Ethernet Thunderbolt-adapter de firmware te flashen. Daarnaast bleek dat de "Secure Empty Trash" optie, om bestanden permanent te verwijderen, bestanden niet altijd permanent verwijderde. Een lijst van alle verholpen problemen is op de website van Apple te vinden. De nieuwe OS X-versie is te downloaden via de Mac App Store en Apple.com.
IOS
Gisteren verscheen er ook een nieuwe versie van iOS. IOS 9.0.2 verhelpt één kwetsbaarheid waardoor iemand met fysieke toegang tot het toestel foto's en contacten kon benaderen, ook al was de schermvergrendeling actief. Door een probleem met de schermvergrendeling konden deze gegevens en bestanden toch worden benaderd. Apple heeft dit opgelost door de opties die op een vergrendeld toestel beschikbaar zijn te beperken. De update is te downloaden via iTunes en de Software Update-functie.
Safari
In Safari 9 voor OS X Mavericks, OS X Yosemite en OS X El Capitan heeft Apple 45 kwetsbaarheden opgelost. Via de beveiligingslekken kon een aanvaller de surfgeschiedenis van gebruikers achterhalen en Safari-extensies vervangen. Door een probleem met de Safe Browsing-optie werden gebruikers niet gewaarschuwd als ze een bekende kwaadaardige website bezochten. In het ergste geval kon een aanvaller bij het bezoeken van een gehackte of kwaadaardige website willekeurige code op het systeem uitvoeren. Safari 9 is via de Mac App Store te downloaden.
Apple dan,
op de redactie wordt een andere insteek gekozen getuige de titel.
Namelijk de negatieve kant, een grote opsomming van wat er allemaal verholpen is en wat er niet goed is.
Dat er '*&#!' net een nieuw besturingssysteem is geïntroduceerd * (dat is geen update maar een upgrade) met een nogal verstevigde security basis 'dondert natuurlijk volledig niet'.
Neej, lekjus en bugjus turven om een artikel te vullu met getallutjes (zo kom je de dag wel door).
Kwetsbaarheden waar overigens geen misbruik van werd gemaakt. Qua balans business as usual (voor Apple dan).
Dus, moeten de laatste Mac gebruikers die hier het inmiddels permanente ge-emmer en geziek dan ook maar weer gaan terug- uitwijken naar specifieke closed Apple communities als Appletips en 'mc'freak om zonder permanente negatieve insteek over Apple en Mac zaken nog op enigszins normale wijze te kunnen security-discussiëren??
Het zou jammer zijn maar het begint er inmiddels meer en meer op te lijken.
Maar wij Apple gebruikers kunnen het hebben hoor...!
Speciaal voor deze reactie vandaag geschreven op een Mac met ...
....
OS X 10.4 (Tiger) !
In het kader van het turven en tellen, hoeveel stapjes is dat terug?
Virusscanner erbij uitgezet (ook nog! 'brrrrr', geeft namelijk een betere performance op dat oude bakkie ;), het oudere Mac OS X kan het namelijk met gemak hebben bij gebrek aan dreigingen (geen Safari gebruiken en wel de config opties gebruiken die het OS X heeft!).
Evengoed, werken met een nieuwer OS X heeft voordelen, Mac OS X El Capitan *bijvoorbeeld.
Zo, in het kader daarvan, na het zuur dan het aanvullende onterecht veronachtzaamde zoet :
Apple heeft in El Capitan / Mac OS X 10.11 een nieuwe functie geïntroduceerd die qua beveiliging niet mis is :
System Integrity Protection (Rootless)
Dat was kennelijk niet zo heel vermeldenswaardig ('voetnoot'status?) voor het artikel maar ik zou het toch maar meenemen (!), lees er zelf over.
https://en.wikipedia.org/wiki/System_Integrity_Protection
Gebruik van een Mac was al veilig (ondanks de verholpen lekken en bij gebrek aan dreiging), maar dit is een zeer welkome stap omdat veel Mac gebruikers maar 1 account hebben, het admin account, in plaats van twee (een gewoon user account erbij).
Limitatie van de rechten op dit account is dus geen gekke aanpak al blijf ik van mening dat het goed is om toch een gewone user account erbij aan te maken.
Het (de rootless protectie) kan overigens ook weer uit maar dat zou ik niet doen als dat niet nodig is!
http://www.appletips.nl/el-capitan-system-integrity-protection-rootless-uitschakelen/
Macgroet
Doe het niet gauw, dergelijke kritische noot naar de redactie maar dit schoot toch ff verkeerd, de balans begint er inmiddels ook hier weer behoorlijk uit te raken.
En dat is jammer.
* https://en.wikipedia.org/wiki/OS_X_El_Capitan
met verkeerde been uit been gestapt?? Er wordt alleen gemeld dat er updates zijn die x lekken dichten. Gebeurt wel vaker op deze site:
https://www.security.nl/search?keywords=dicht+kwetsbaarheden&c[]=1&c[]=2&c[]=3
https://www.security.nl/search?keywords=dicht+lekken&c[]=1&c[]=2&c[]=3
Als de politie boefjus in mijn buurt pakt wil ik ook weten hoeveel het er zijn.
met verkeerde been uit been gestapt??
Nope
Het is 'maar' wat je prioriteit geeft en hoe je het verwoordt.
Maar ik wil het best nog een keer uitleggen
De nieuwskleur van deze site vandaag direct geïllustreerd
Nieuw Os X met security features?
Niet zo belangrijk, noemen we een update en brengen we zo :
Maar goed, het kan voorkomen hoor, een Windows redacteur achter een Windows bak met Windows interesses?
Je bedient met een dergelijke insteek je Mac achterban (ja die is er *) op deze site alleen niet zo mee.
* Kijk maar
https://www.security.nl/posting/374345/Welke+versie+Mac+OS+X+draai+jij%3F
maandag 6 januari 2014, 12:19 door Redactie, 18 reacties
10.9 Mavericks 26.41%
10.8 Mountain Lion 3.25%
10.7 Lion 1.57%
10.6 Snow Leopard 3.05%
10.5 Leopard 0.98%
Nog ouder 1.92%
Ik heb geen Mac 62.81%
Aantal stemmen: 2033
Hey, toch nog een aardige groep Mac gebruikers hier.
Een kleine 40% van de lezers met een Mac? Nou vooruit afgerond 30% ? Een kwart dan?
Gaat dus niet over fan's (gezwam weer) maar over gebruikers die je als site hebt als lezersgroep.
Best een percentage om rekening mee te houden en het waar het kan positief te houden.
Zeker als tegenwicht bij het anti-Apple geklier in de reactiekolommen.
Een keuze die je hebt en Mac kennis binnen het bedrijf is er echt wel.
(Over die keuze ga ik niet maar ik voel me vrij daar wel een keer een kritische opmerking over te maken. ).
Hey, toch nog een aardige groep Mac gebruikers hier.
Een kleine 40% van de lezers met een Mac? Nou vooruit afgerond 30% ? Een kwart dan?
Gaat dus niet over fan's (gezwam weer) maar over gebruikers die je als site hebt als lezersgroep.
Best een percentage om rekening mee te houden en het waar het kan positief te houden.
Zeker als tegenwicht bij het anti-Apple geklier in de reactiekolommen.
Een keuze die je hebt en Mac kennis binnen het bedrijf is er echt wel.
(Over die keuze ga ik niet maar ik voel me vrij daar wel een keer een kritische opmerking over te maken. ).[/quote]
Ja, wants de polls hier zijn echt geloofwaardig.. </sarcasm>
Vandaag hebben we bijvoorbeeld deze journalistieke parel:
Buitenaardse signalen onherkenbaar door encryptie?
Ja
17.54%
Nee
29.5%
Snowden is een alien
52.96%
Worden hiermee alle voorgaande versies van Safari meteen end-of-life? Helaas is apple daar altijd erg onduidelijk in.
Als ontwikkelaar is het wel handig om te weten, dan hoef je er ook geen rekening meer mee te houden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.