Apple dicht ernstige lekken in Mac OS X en Safari
Apple heeft beveiligingsupdates voor Mac OS X en Safari uitgebracht die ernstige lekken verhelpen die eerder zijn gebruikt om de iPhone van een mensenrechtenactivist in de Verenigde Arabische Emiraten aan te vallen. Via de kwetsbaarheden kan een aanvaller code met kernelrechten uitvoeren.
Het bezoeken van een kwaadaardige of gehackte website is hiervoor voldoende. Security Update 2016-001 El Capitan en Security Update 2016-005 Yosemite verhelpen twee zero day-lekken die actief op iOS zijn aangevallen en waarvoor Apple eind augustus een iOS-update uitgebracht. In het geval van Mac OS X is het mogelijk om via de twee kwetsbaarheden informatie uit het kernelgeheugen uit te lezen en kan een programma willekeurige code met kernelrechten uitvoeren.
Daarnaast is er ook een kwetsbaarheid in Safari 9.1.3 gepatcht waardoor een kwaadaardige website, zonder enige interactie van gebruikers behalve te worden bezocht, willekeurige code op het systeem kon uitvoeren. De kwetsbaarheden waren door onderzoekers van Citizen Lab en beveiligingsbedrijf Lookout gevonden en aan Apple gerapporteerd. Bij het onderzoek naar de iPhone-aanval ontdekten de onderzoekers een Israelisch bedrijf genaamd NSO Group dat spyware voor overheden maakt en dit via de destijds drie onbekende kwetsbaarheden in iOS op het toestel van mensenrechtenactivist Ahmed Mansoor probeerde te installeren. Of de beveiligingslekken ook zijn gebruikt om Mac-gebruikers aan te vallen is onbekend.
En was het niet zo dat dit niet mogelijk was bij Apple. .
Nee ik geloof niet in absoluut veilige systemen. Alle software bevat fouten maakt niet uit wie de leverancier of maker is.
Hoeveel bugs zitten nog in de software van een bepaalde leverancier er in en wat is de ernst daarvan? Dat is lastig in te schatten want het is een som van ontwerpbeslissingen, kwaliteit van programmeurs en testers en hoeveel aandacht het management besteedt aan kwaliteit van de geleverde producten. De CERT zwakheden lijst is een weerslag van wat er na het op de markt brengen van de software nog gevonden is.
Mijn indruk is dat Microsoft haar achterstand van een factor 10 of zo op Apple en Linux die ze meer dan tien jaar geleden had aan het inlopen is.
"Wat is er nog meer?"
Als je werkelijk zo begaan bent en wakker wil liggen van deze vraag.
Google even wat op linkjes, daar ben je goed in.
Maak je nou maar druk om de veiligheid van je eigen favoriete spulletjes.
Veel nuttiger want je druk maken om spullen die je niet gebruikt en waar je geen ene klootviool verstand van hebt is in jouw geval dan ook totaal niet geloofwaardig.
Trolling dat is het en blijft het, iedere keer weer.
Ziekelijk gewoon.
Net de updates naar Mac OS X 10.10.5 en Safari 9.1.3 geïnstalleerd, ik weet niet sinds wanneer die beschikbaar waren want ik had de computer enkele dagen niet gebruikt.
Veel nuttiger want je druk maken om spullen die je niet gebruikt en waar je geen ene klootviool verstand van hebt is in jouw geval dan ook totaal niet geloofwaardig.
.
Als je serieus met secùrity bezig zou zijn moet je dat loslaten. Informatieveiligheid is veel meer dan tooltjes. Ik zie degenen die onder zo'n steen leven van de benauwde visie als een belemmering en mede oorzaak dat er weinig verbeterd.
Veel nuttiger want je druk maken om spullen die je niet gebruikt en waar je geen ene klootviool verstand van hebt is in jouw geval dan ook totaal niet geloofwaardig.
.
Inderdaad! Het ontbreekt hier op security.nl vele aan visie! Zoals Johan Cruijff al zei: "Voetbal hoort gespeeld te worden in een 4-3-3 opstelling. Je kunt niet met twee spitsen spelen, want dan krijg je oneven getallen en kan een elftal nooit functioneren."
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.