Apple patcht ernstige lekken in FaceTime, iOS en MacOS
Apple heeft belangrijke beveiligingsupdates voor macOS, iOS, Safari, iTunes en iCloud uitgebracht die een groot aantal kwetsbaarheden verhelpen, waaronder ernstige beveiligingslekken in FaceTime. IOS 12.1 verhelpt minimaal 32 kwetsbaarheden waardoor een aanvaller in het ergste geval willekeurige code op iPhones, iPads en iPods had kunnen uitvoeren.
Verschillende van de kwetsbaarheden bevonden zich in FaceTime of waren via de populaire communicatie-app te misbruiken. Het verwerken van een kwaadaardige video via FaceTime maakte het mogelijk om kwaadaardige code op het systeem uit te voeren. Een andere kwetsbaarheid in FaceTime zelf zorgde ervoor dat een aanvaller op afstand op het toestel van een slachtoffer een FaceTime-gesprek had kunnen starten. Verder kon het verbinden met een vpn-server ervoor zorgen dat er dns-verzoeken naar een dns-proxy lekten en had een aanvaller met fysieke toegang tot een vergrendeld scherm bepaalde zaken kunnen delen of video's kunnen bekijken.
Met de lancering van macOS Mojave 10.14.1, Security Update 2018-001 High Sierra en Security Update 2018-005 Sierra heeft Apple minstens 71 beveiligingslekken opgelost waardoor een aanvaller in het ergste geval willekeurige code met systeem- of kernelrechten had kunnen uitvoeren. Dit was bijvoorbeeld mogelijk door het installeren van een kwaadaardige app of het mounten van een speciaal geprepareerde NFS-netwerkshare.
In Safari 12.0.1 zijn toepasselijk een dozijn beveiligingslekken gepatcht. In het ergste geval had een aanvaller willekeurige code op het systeem kunnen uitvoeren. Alleen het bezoeken van bijvoorbeeld een gehackte website was hierbij voldoende geweest.
Windows
Voor Windows-gebruikers heeft Apple ook beveiligingsupdates beschikbaar gesteld. Met iTunes 12.9.1 voor Windows 7 en nieuwer behoren minstens 14 kwetsbaarheden tot het verleden en in iCloud voor Windows 7.8 zijn 13 beveiligingslekken gepatcht. In beide programma's gaat het om lekken waardoor een aanvaller in het ergste geval het onderliggende systeem had kunnen overnemen.
Aantal kwetsbaarheden
Het werkelijke aantal kwetsbaarheden dat Apple tijdens deze patchronde heeft gepatcht is onbekend. Het bedrijf maakt sommige gepatchte lekken namelijk pas op een later moment bekend. Iets dat het gisterenavond heeft gedaan met eerder verschenen updates voor macOS, iTunes, iCloud voor Windows, tvOS, watchOS en iOS. Daar zijn allerlei verholpen kwetsbaarheden aan toegevoegd die in het initiële beveiligingsbulletin niet stonden vermeld. Een werkwijze waar Google-onderzoekers onlangs flinke kritiek op hebben geuit.
De nu verschenen updates zijn verkrijgbaar via de website van Apple, iTunes, de automatische updatefunctie of de stores van Apple. Het volledige overzicht van alle beveiligingsbulletins is op deze pagina te vinden.
Apple staat nu niet echt bekend om zijn openheid.
Apple staat nu niet echt bekend om zijn openheid.
Vind je het gek, staatshackers zijn opzoek naar dit soort informatie om vervolgens teams in te zetten om kwetsbaarheden die niet gefixed of deels alleen gefixed zijn te exploiten.
Je bent het meest kwetsbare voor hacks van overheden wanneer je je updates nog niet binnen hebt gekregen.
Apple staat nu niet echt bekend om zijn openheid.
Het is ook altijd wat.
Apple staat nu niet echt bekend om zijn openheid.
Zucht... daar gaan we weer: 2e reactie van 12:41 uur.... berstensvol subjectiviteit.
Heb je bronnen? URL's?
Bij voorbaat dank!
Apple staat nu niet echt bekend om zijn openheid.
Zucht... daar gaan we weer: 2e reactie van 12:41 uur.... berstensvol subjectiviteit.
Heb je bronnen? URL's?
Bij voorbaat dank!
Natuurlijk, maar als je security had gevolgd, had je deze ook al gelezen:
https://www.security.nl/posting/583561/Google-onderzoeker+hekelt+Apple+over+niet+vermelden+van+lekken
En Apple staat nu niet bekend om zijn kwaliteiten de laatste tijd, en zal helemaal nooit zo snel een fout bekennen, Apple is immers almighty en heeft het nooit fout, immers de gebruikers doen het altijd fout.
En je zal maar een apple watch 4 hebben. https://tweakers.net/nieuws/145155/apple-trekt-watchos-51-update-terug-na-problemen-met-apple-watch-series-4.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.