Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 26 reacties, 3.262 views •
Bron: Apple, submitter: Roelant

Apple heeft een nieuwe beveiligingsupdate voor Mac OS X 10.6 en 10.5 de deur uitgedaan met 2010-001 als de versieaanduiding. Hierin worden beveiligingslekken gedicht met betrekking tot CoreAudio, CUPS, Adobe Flash Player-plugin, ImageIO en OpenSSL. De Nederlandse aankondiging ziet er als volgt uit:

Overzicht:

In dit document wordt Security Update 2010-001 beschreven, die u kunt downloaden en installeren via de voorkeur Software-update of via Apple Downloads. Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging. Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Security Update 2010-001

CoreAudio
  • CVE-ID: CVE-2010-0036
  • Impact: het afspelen van een kwaadwillig vervaardigd mp4-audiobestand kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code.
  • Beschrijving: er treedt een heapbufferverloop op bij de verwerking van mp4-audiobestanden. Het afspelen van een kwaadwillig vervaardigd mp4-bestand kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde bounds checking. Met dank aan Tobias Klein van trapkit.de voor het melden van dit probleem.
CUPS
  • CVE-ID: CVE-2009-3553
  • Impact: een externe aanvaller kan een onverwachte beëindiging van cupsd veroorzaken.
  • Beschrijving: er doet zich een "use-after-free"-probleem voor in cupsd. Door het verzenden van een kwaadwillig vervaardigd verzoek voor het ophalen van printertaken kan een aanvaller een externe serviceweigering veroorzaken. Dit wordt afgewend door de automatische herstart van cupsd na de beëindiging ervan. Dit probleem wordt verholpen door een verbeterde "connection use tracking".
Flash Player-plugin
  • CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951
  • Impact: meerdere kwetsbaarheden in Adobe Flash Player-plugin.
  • Beschrijving: er bestaan meerdere problemen in de Adobe Flash Player-plugin, waarvan het ernstigste kan leiden tot het uitvoeren van willekeurige code wanneer een bedrieglijke website wordt weergegeven. De problemen worden verholpen door de Flash Player-plugin bij te werken naar versie 10.0.42. Meer informatie is verkrijgbaar via de website van Adobe op http://www.adobe.com/support/security/bulletins/apsb09-19.html Met dank aan een anonieme medewerker en Damian Put actief bij TippingPoints Zero Day Initiative, Bing Liu van Fortinet's FortiGuard Global Security Research Team, Will Dormann van CERT, Manuel Caballero en Microsoft Vulnerability Research (MSVR).
ImageIO
  • CVE-ID: CVE-2009-2285
  • Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
  • Beschrijving: er treedt een bufferonderloop op in de afhandeling van TIFF-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde bounds checking. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in Mac OS X v10.6.2.
RAW-afbeelding
  • CVE-ID: CVE-2010-0037
  • Impact: het bekijken van een kwaadwillig vervaardigde DNG-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
  • Beschrijving: er treedt een bufferoverloop op in Image Raw's verwerking van DNG-afbeeldingen. Het bekijken van een kwaadwillig vervaardigde DNG-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde bounds checking. Met dank aan Jason Carr van Carnegie Mellon University Computing Services voor het melden van dit probleem.
OpenSSL
  • CVE-ID: CVE-2009-3555
  • Impact: een aanvaller met een geprivilegieerde netwerkpositie kan gegevens bemachtigen of de uitgevoerde bewerkingen in SSL-beschermde sessies wijzigen.
  • Beschrijving: er bestaat een "man-in-the-middle"-kwetsbaarheid in de SSL- en TLS-protocollen. Verdere informatie is beschikbaar op http://www.phonefactor.com/sslgap Momenteel wordt binnen het IETF gewerkt aan een gewijzigd herbemiddelingsprotocol. Deze update schakelt herbemiddeling in OpenSSL uit als een preventieve veiligheidsmaatregel. Het probleem is niet van invloed op services die Secure Transport gebruiken omdat het geen herbemiddeling ondersteunt. Met dank aan Steve Dispensa en Marsh Ray van PhoneFactor, Inc. voor het melden van dit probleem.

Reacties (26)

Let op dat deze update sommige applicaties blokkeerd in hun functionaliteit. Bijvoorbeeld gebruikers van Tor kunnen geen verbindingen meer maken doordat het afhankelijk is van de renegotiation van TLS via OpenSSL.

Het vreemde is dat Apple gekozen heeft om de gehele functionaliteit uit te schakelen van renegotiation, terwijl het probleem ligt in het feit dat sommige applicaties de OpenSSL library verkeerd aanspreken. Wanneer men de juiste calls maakt naar OpenSSL is zelfs in de oudere versies (< 0.8.9l) veilig gebruik te maken van renegotiation.
Renegotiation uitschakelen is op dit moment een quick fix voor de gat dat in SSL zit. Renegotiation is op dit moment in geen enkele versie van SSL veilig.

http://www.theregister.co...egotiation_bug_exploited/
Ik dacht dat eem mac daar geen last van had, maar zo veilig is het dus blijkbaar helemaal niet.
Tuurlijk heeft OS X daar last van, elk OS heeft daar last van...
Beetje onzin opmerking....

Geen OS is 100% veilig, dat is een feit.
Deze opmerking komt altijd langs als er een update is, just ignore
Net als de opmerking, "wow, kijk eens hoe snel ze dat fixen" die komt ook zeeeeer regelmatig voorbij. Zonder er over na te denken hoe lang die bug er misschien al wel niet in zit. ;)
Deze opmerking komt altijd langs als er een update is, just ignore
Tja, dat krijg je als je als bedrijf zo hoog van de toren blaast. Apple blijft maar suggereren dat PC's vol met veiligheidslekken zitten, en dat je daar als Mac gebruiker geen last van hebt. (Zelf ben ik eigenaar van een 2008 Mac Pro workstation, dus denk niet dat ik een hekel aan Apple heb. Integendeel.)
Dat gaat over virussen en heeft verder niets te maken met bugs in andere delen van OSX.
Maar virussen maken toch gebruik van bugs in andere delen van een OS. Dit zijn wel degelijk belangrijke security zaken die gefixed moeten worden.
Nee dat doen virussen helemaal niet. Ze nestelen zich in bestanden maar buiten geen security gaten uit. Er zijn wel andere vormen van malware die dat kunnen doen en men kan ook van exploits gebruik maken om je met malware te besmetten. Dat is alleen een ander verhaal.

Wat Apple betreft is het inderdaad zo dat ze zich alleen maar richten op de hoeveelheid virussen die er zijn voor Windows. Dat zijn er heel wat meer dan voor OS X (OS X heeft er geen, wel wat trojans en wormpjes maar dat is voornamelijk proof of concept). De statements die Apple op dat gebied maakt kloppen dan ook wel (juridisch gezien dus ook). Wat ze echter niet kunnen claimen is iets wat geen enkele OS bouwer kan claimen: dat hun OS secure en bugvrij is want dat is onmogelijk. Zelfs OpenBSD is niet zo stom om dat te doen, die beperken zich tot "meest veilige OS ooit". Mac users en de Mac fanboys erkennen gelukkig in 99% van de gevallen de problemen rondom security. Daarom spreekt ook vrijwel iedereen over virussen en niet over exploits.
En heb je er al daadwerkelijk last van gehad? :O
Ik heb zelf geen MAC, en daarom vroeg ik me dit af.\
Iets vriendelijker mag best hier.
vriendelijkheid verwachten van macfanboys is onbegonnen werk
Toevallig kom ik net met google een interessant artikeltje tegen...
http://nchovy.kr/uploads/...ac%20OS%20Xploitation.pdf
De conclusies waren:
• MacOS X is vulnerable to the same type of malware attacks as Windows
• Significantly lags behind Windows and Linux in memory corruption defenses
• ASLR, NX, Stack and Heap protection
• Writing exploits for Vista is hard work, writing exploits for Mac is fun
Ik wacht nog met smart op de virussen voor OSX... heb tot nu toe op het internet alleen gelezen voor een verdwaalde variant voor OS9.
Nou daar zit ik toch niet met smart op te wachten. Ik ben al lang blij dat ik nog geen virusscanner hoef te draaien en wilde dat voorlopig ook zo houden. Scheelt toch wat system recources en een jaarlijks abonnement. Kortom laat de boze wereld zich nog maar even richten op Windows. ;-)
Dat ASLR, NX, etc. verhaal is nogal een theoretisch verhaal. Dat is ook goed te merken aan het verhaal en is ook iets wat de onderzoeker in kwestie heeft toegegeven. Hij heeft er zelfs nog bij moeten vertellen dat de soep niet zo heet gegeten wordt als dat hij wordt opgediend. Het is puur een theoretisch verhaal waarbij de praktijk al uitwijst dat het vrij lastig is en de waarschijnlijkheid erg laag. Dat is ook wel te merken aan het feit dat er in 10 jaar tijd voor OS X bar weinig virussen, trojans, wormen en andere meuk gemaakt is. Dat geeft wel te denken. Kennelijk is het toch allemaal niet zo makkelijk en kwetsbaar als dat artikel waar je naar linkt doet vermoeden. Dat wil niet zeggen dat het een superveilig systeem is want die illusie moet je ook niet hebben.

Al met al bleek het om een storm in een glas water te gaan. Niks mis mee want zo heb je wel wat meer security awareness bij de mensen gekweekt. Minder is dan wel dat sommige mensen niet het gehele verhaal mee krijgen en dingen dan ook verkeerd interpreteren.
ik heb het nog niet eerder zo gezien als mededeling, of wel soms?
maar willekeurige code, wtf, wat is het dan?

kan het random iets gaan doen binnen de applicatie of in de OS?
Heel veel security patches zijn voor dit soort bugs.
Zie Wikipedia voor uitleg.
Ze bedoelen in ieder geval niet dat ze een @random-generator er op loslaten die code uitpoept. Er wordt bedoeld dat er willekeurig gekozen code uitgevoerd kan worden, wat dus zoveel wil zeggen als dat een (kwaadwillend) persoon alles kan doen op de machine.
Ach ja... het gaat hier om security updates om inbrekers buiten de deur te houden. Voor de meeste mensen en bedrijven zijn virii een realistischer probleem, iets wat bij OSX nog steeds geen reeele dreiging is. (die 7 wormen/virii die nog steeds een handeling van de gebruiker vereisen daargelaten...)
Ach ja... het gaat hier om security updates om inbrekers buiten de deur te houden. Voor de meeste mensen en bedrijven zijn virii een realistischer probleem, iets wat bij OSX nog steeds geen reeele dreiging is. (die 7 wormen/virii die nog steeds een handeling van de gebruiker vereisen daargelaten...)
Dat durf ik te betwijfelen. Wanneer hebben we de laatste grote virus uitbraak gezien op de PC? Was dat niet Blaster? Wat het ook was, het is alweer een aantal jaartjes terug.

Nee, botnets en phising zijn zo'n beetje de kernwoorden die je de laatste jaren vaak tegenkomt. Daar is ook serieus geld mee te verdienen.
De laatste malware-verspreiding was volgens mij bij Conficker :)
Iemand al enige ervaring of deze update Hackintosh safe is?
als je vanilla gebruikt wel ja

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True