Find My iPhone kon door lek zonder wachtwoord worden uitgezet
Apple heeft gisterenavond belangrijke beveiligingsupdates voor onder andere iOS, macOS en iTunes uitgebracht. IOS 11.3 verhelpt in totaal 43 kwetsbaarheden waardoor een aanvaller in het ergste geval willekeurige code op toestellen had kunnen uitvoeren als er een website werd bezocht.
Via andere verholpen beveiligingslekken had een aanvaller met fysieke toegang tot een iOS-toestel het voor iTunes ingestelde e-mailadres kunnen zien of Find My iPhone zonder het opgeven van een iCloud-wachtwoord kunnen uitschakelen. De feature is juist bedoeld om bijvoorbeeld gestolen iPhones terug te vinden. De kwetsbaarheid maakte het echter mogelijk voor een dief om de functie uit te schakelen zonder dat hij over het iCloud-wachtwoord van het slachtoffer beschikte.
Een ander kwetsbaarheid die in iOS 11.3 is opgelost maakte het mogelijk om via een man-in-the-middle-aanval de inhoud van met S/MIME versleutelde e-mail te onderscheppen. Ook bleek dat kwaadaardige websites zonder enige interactie van gebruikers informatie hadden kunnen stelen die Safari automatisch op een website invoert. Een ander probleem dat tot het verleden behoort liet een applicatie zonder rechten toetsaanslagen in andere applicaties opslaan, ook al werd er van de "secure input mode" gebruikgemaakt.
MacOS
Voor Mac-gebruikers zijn macOS High Sierra 10.13.4, Security Update 2018-002 Sierra en Security Update 2018-002 El Capitan verschenen. Deze updates verhelpen in totaal 35 kwetsbaarheden. Zo was het onder andere mogelijk voor een kwaadaardige website om disk-images te mounten. Een andere kwetsbaarheid zorgde er weer voor dat er via de gemounte kwaadaardige disk-image een applicatie kon worden gestart. Tevens zijn er meerdere kwetsbaarheden gepatcht waardoor een kwaadaardige app code met kernelrechten had kunnen uitvoeren. Een ander lek liet een kwaadaardige app de verplichting voor gesigneerde code omzeilen.
Overige software
Naast iOS en macOS zijn er ook updates voor iTunes, Safari, iCloud, Xcode, tvOS en watchOS verschenen. Via de verholpen kwetsbaarheden had een aanvaller in het ergste geval willekeurige code op het systeem kunnen uitvoeren. Gebruikers krijgen dan ook het advies om zo snel als mogelijk de updates te installeren.
Hulde aan Appel, patchen maar want nu is het naar buiten gekomen en nu gaan we snel de drama verhalen op Internet lezen over mensen die het niet nodig vonden om te updaten...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.