image

Apple verhelpt lek in macOS Catalina zeven maanden na update voor Big Sur

dinsdag 16 november 2021, 16:49 door Redactie, 6 reacties

Apple heeft een kwetsbaarheid in macOS Catalina, waar aanvallers uiteindelijk misbruik van maakten, pas zeven maanden later verholpen nadat de beveiligingsupdate voor macOS Big Sur verscheen. Onlangs liet Google weten dat de kwetsbaarheid in de XNU-kernel van macOS, aangeduid als CVE-2021-30869, in combinatie met een beveiligingslek in Safari was gebruikt om macOS-gebruikers te infecteren met een backdoor.

Het XNU-lek was op 1 februari van dit jaar door Apple in macOS Big Sur 11.2 verholpen. Dit werd echter niet in eerste instantie door het techbedrijf vermeld. Apple liet pas op 23 september weten dat CVE-2021-30869 in Big Sur was opgelost, nadat het door Google op misbruik van de kwetsbaarheid was gewezen en het op dezelfde dag een beveiligingsupdate voor macOS Catalina had uitgebracht. Door middel van het XNU-lek kan een aanvaller die al toegang tot een macOS-systeem heeft code met kernelrechten uitvoeren.

In april van dit jaar werden details over het beveiligingslek tijdens de Zer0con-conferentie gepresenteerd (pdf). De update voor Catalina verscheen zoals gezegd op 23 september. "Dit gaf aanvallers de mogelijkheid om personen met Catalina en Safari 13 onopgemerkt aan te vallen", zegt Thomas Reed van securitybedrijf Malwarebytes.

De onderzoeker vindt het verdacht dat de vermelding van de update niet in de release notes van Big Sur 11.2 stond en pas werd vermeld op hetzelfde moment nadat het probleem in Catalina was opgelost. "Dat lijkt te suggereren dat het iets is waarvan Apple al wist dat het verholpen had moeten worden, of zeer snel ontdekte dat het om dezelfde Big Sur-bug ging", merkt Reed op. Hij stelt dat het incident laat zien dat gebruikers er alleen op kunnen vertrouwen dat Apple de laatste macOS-versie van updates voorziet en het gebruik van oudere versies op eigen risico is.

Reacties (6)
16-11-2021, 19:34 door ronvm
Een kwalijke zaak eigenlijk. Gelukkig is het lek wel gedicht, maar veel en veel te laat.
17-11-2021, 08:04 door Anoniem
Dit speelt toch ook met iOS 14.x, dat zou beveiligingsupdates blijven krijgen maar het bleek al gauw dat dit niet of met vertraging het geval was.
Zou fijn zijn als Apple in ieder geval eens eerlijk/duidelijk zou zijn over het ontbreken van support.
17-11-2021, 08:30 door [Account Verwijderd] - Bijgewerkt: 17-11-2021, 08:31
Hij stelt dat het incident laat zien dat gebruikers er alleen op kunnen vertrouwen dat Apple de laatste macOS-versie van updates voorziet en het gebruik van oudere versies op eigen risico is.

Is dat macOS Catalina de Windows 10 van Apple? Allemaal hetzelfde die partijen met commerciële belangen.
17-11-2021, 09:06 door Anoniem
Door Toje Fos:
Hij stelt dat het incident laat zien dat gebruikers er alleen op kunnen vertrouwen dat Apple de laatste macOS-versie van updates voorziet en het gebruik van oudere versies op eigen risico is.

Is dat macOS Catalina de Windows 10 van Apple? Allemaal hetzelfde die partijen met commerciële belangen.
En wie zegt niet dat het ontwikkelen van de patch langer heeft geduurd? Dat gebeurt soms wel eens, omdat het dichten van een lek een nogal gecompliceerde aangelegenheid kan zijn. Hoe vaak horen we niet van patches die het probleem maar gedeeltelijk verhelpen? Dus ik zou maar wat voorzichtig zijn met de boude conclusie van hierboven.
17-11-2021, 11:59 door [Account Verwijderd]
Door Anoniem:
Door Toje Fos:
Hij stelt dat het incident laat zien dat gebruikers er alleen op kunnen vertrouwen dat Apple de laatste macOS-versie van updates voorziet en het gebruik van oudere versies op eigen risico is.

Is dat macOS Catalina de Windows 10 van Apple? Allemaal hetzelfde die partijen met commerciële belangen.
En wie zegt niet dat het ontwikkelen van de patch langer heeft geduurd? Dat gebeurt soms wel eens, omdat het dichten van een lek een nogal gecompliceerde aangelegenheid kan zijn. Hoe vaak horen we niet van patches die het probleem maar gedeeltelijk verhelpen? Dus ik zou maar wat voorzichtig zijn met de boude conclusie van hierboven.

Geloof je het zelf? Echt? Lees dan de door redactie gelinkte artikelen nog eens goed door over de achtergronden bij de onderhavige conclusies.
17-11-2021, 19:25 door Anoniem
Door Anoniem:
Door Toje Fos:
Hij stelt dat het incident laat zien dat gebruikers er alleen op kunnen vertrouwen dat Apple de laatste macOS-versie van updates voorziet en het gebruik van oudere versies op eigen risico is.

Is dat macOS Catalina de Windows 10 van Apple? Allemaal hetzelfde die partijen met commerciële belangen.
En wie zegt niet dat het ontwikkelen van de patch langer heeft geduurd? Dat gebeurt soms wel eens, omdat het dichten van een lek een nogal gecompliceerde aangelegenheid kan zijn. Hoe vaak horen we niet van patches die het probleem maar gedeeltelijk verhelpen? Dus ik zou maar wat voorzichtig zijn met de boude conclusie van hierboven.

Zolang grote jongens zoals Apple zelfs niet in staat zijn de huidige OS-versies op tijd te patchen maakt het geen drol uit of het om geld draait, hun naam of iets anders maar is dat gewoon een teken van slechte Human Resource Management en mailing hebben aan (eind)gebruikers van hun product.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.