Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 68 reacties
Submitter: Rafe

Apple heeft in zijn laatste updateronde een patch uitgebracht om een kwetsbaarheid op te lossen waarbij het mogelijk is om kwaadaardige code uit een tiff-bestand uit te voeren via een mms of iMessage. Vervolgens is het mogelijk persoonlijke informatie te stelen.

De bug kan ook via een attachment of Safari misbruikt worden. Voor dat laatste is het slechts nodig een site met de kwaadaardige code te bezoeken. Om de code uit te voeren, zou volgens beveiligingsonderzoeker Tyler Bohan van Cisco Talos geen verdere interactie met de site nodig zijn, behalve een bezoek.

De code wordt uitgevoerd door applicaties die gebruikmaken van de Apple ImageIO-api. De api wordt volgens de onderzoeker voor alle acties met plaatjes gebruikt op OS X, samen met het renderen van beeld voor Preview en Safari.

Op de site van zakenblad Forbes beschrijft Bohan de bug als 'extreem kritiek' omdat een mms zonder verdere interactie uitgevoerd wordt. Daarin is het volgens hem vergelijkbaar met de Android Stagefright-bug als er gekeken wordt naar de mogelijke blootstelling aan de bug.

De bug heeft CVE-2016-4631 meegekregen als naam. In de laatste update van Apple repareert het bedrijf meerdere bugs die te maken hebben met beeldverwerking. Beelden met bestandstype exr kunnen dezelfde problemen veroorzaken als tiff-bestanden.

Gebruikers van iOS moeten updaten naar versie 9.3.3 om van mogelijke problemen af te zijn. Gebruikers van OS X naar 10.11.6.

OS X El Capitan

Moderatie-faq Wijzig weergave

Reacties (68)

De patch is ook voor Mavericks and Yosemite aanwezig:
ImageIO

Available for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, and OS X El Capitan v10.11 and later
Impact: A remote attacker may be able to execute arbitrary code
Description: Multiple memory corruption issues were addressed through improved memory handling.
CVE-2016-4629 : Tyler Bohan of Cisco Talos (talosintel.com/vulnerability-reports)
CVE-2016-4630 : Tyler Bohan of Cisco Talos (talosintel.com/vulnerability-reports)
https://support.apple.com/en-us/HT206903

Dus niet nodig zomaar naar El Capitan te updaten ;)

En even op iOS inhakend...alle oude toestellen met een iOS ouder dan iOS9 zijn nu allemaal kwetsbaar? Dan stel ik het volgende voor:

Ga naar Instellingen -berichten en zet het vinkje bij MMS berichten uit.
En ga naar de instellingen van je mobiele provider en zet daar fake MMS server gegevens neer zodat hij naar niets luistert. Als hij weer terug springt naar de oude url's/ip's dan moet je er even een cijfertje tussen zetten ofzo.

[Reactie gewijzigd door Yzord op 20 juli 2016 08:56]

En even op iOS inhakend...alle oude toestellen met een iOS ouder dan iOS9 zijn nu allemaal kwetsbaar? Dan stel ik het volgende voor:

Ga naar Instellingen -berichten en zet het vinkje bij MMS berichten uit.
En ga naar de instellingen van je mobiele provider en zet daar fake MMS server gegevens neer zodat hij naar niets luistert. Als hij weer terug springt naar de oude url's/ip's dan moet je er even een cijfertje tussen zetten ofzo.
Alle applicaties die van Apple's s image handling API gebruiken zijn kwetsbaar.
Enkel de stekker uit MMS trekken gaat je niet helpen.

(Dit is eigenlijk gewoon Apple's versie van Android's Stagefright drama.)

[Reactie gewijzigd door R4gnax op 20 juli 2016 09:22]

(Dit is eigenlijk gewoon Apple's versie van Android's Stagefright drama.)
Klopt maar wel met minder impact lijkt me, want het betreft een zeer klein groepje apparaten. Alles vanaf 4s (5 jaar oud toestel) kan gewoon worden ge-update
Ja, leuk, maar daar zijn degenen die niet updaten omdat hun foon dan onnoemelijk traag wordt niet mee geholpen natuurlijk.
Dit hoor ik vaak, maar heb zelf ook niet bepaald nieuwste model (5s) en geen problemen mee? Ken meerderen met 4s die ook laatste iOS draaien zonder grote problemen. Ik kan me voorstellen dat dit voor zwaar gebruik wel echt een probleem is, maar laten we eerlijk zijn als poweruser neem je niet een telefoon van drie of vier generaties oud.
Ik ken genoeg met een 4s die nog ergens begin ios 9 of zelfs 8 draaien omdat ze maar 8gb hebben en geen ruimte etc. Hebben om te updaten.
Of zelfs 8.... Nee toch? Zo oud?
Tjonge dat valt toch ook wel mee? Is een behoorlijk up to date systeem. En ja ik snap je punt maar een telefoon met 8gb gaat dat soort beperkingen gewoon met zich meebrengen. Volgens mij kun je dan trouwens nog steeds gewoon upgraden via iTunes hoor. Maar wat mij betreft mag iemand met een 5 jaar oud model met slechts 8gb niet teveel mopperen hierop.
Klopt, dat kan gelukkig nog, maar genoeg hebben geen pc (met iTunes) tot hun beschikking of zijn te lui, dus idd wel hun eigen schuld..
Dan moet men gewoon even via de computer updaten. Het kan allemaal prima.
Maar safari enzo kan je nog updaten, maar je OS zelf waarvan imessage en mms onderdeel zijn niet meer op oudere toestellen. Vandaar zijn tip om hoe daar dan in ieder geval mms uit te schakelen.

[Reactie gewijzigd door ro8in op 20 juli 2016 10:03]

Maar safari enzo kan je nog updaten, maar je OS zelf waarvan imessage en mms onderdeel zijn niet meer op oudere toestellen. Vandaar zijn tip om hoe daar dan in ieder geval mms uit te schakelen.
Apps updaten heeft geen zin als de systeem API niet mee bijgewerkt wordt.
Op dat moment blijft de nieuwe versie van de app nog steeds gewoon tegen de exploitbare oude versie van de API praten.

Nogmaals: dit ga je zonder patch niet fixen.
Dus òf Apple komt met een eenmalige patch voor outmoded iPhones, òf iedereen die er nog zo één heeft kan hem bij het afval doen.
Dat klopt ook wel, maar ik gaf alleen maar aan dat je MMS lig kan uitschakelen. Voor Safari zou je F-Secure Freedom kunnen installeren. Die houdt schadelijke websites tegen. Alleen kost het 30 euro per jaar. Heb je wel meteen 12 maanden VPN erbij die heel erg goed werkt met rond de 45 lokaties.

Ging mij er even om hoe de mensen met een oude iOS nog iets kunnen doen. Dat ze nu met een halve brick zitten...ja dat is mij ook duidelijk. Maar niet iedereen heeft even de centjes om een nieuwe telefoon ala minuut te kopen. Als je MMS uitschakelt en je installeert een andere browser die je als default kan instellen heb je al een hoop "gewonnen".

Dan zit je alleen nog met iMessage. Die zou je ook uit kunnen schakelen eventueel. Maar goed, kan je allemaal net zo goed een Nokia 1650 kopen :P
Helaas kan je geen browser als standaard aangeven in ios en alle andere browsers gebruiken volgensmij nog steeds Safari op de achtergrond.
Aangezien de telefoon gejailbreakt moet zijn, kan je in Cydia wel degelijk een tool downloaden die een andere browser als default kan wijzen.

De tool heet: Browser Changer
R4gnax heeft het over Apple iOS apps?
Safari updaten op iOS gaat niet ;)
Toevoeging aan het artikel;
"Door het lek konden hackers toegang krijgen tot onder meer loginggegevens en wifi-wachtwoorden. Om de telefoon volledig over te nemen moest eerst nog een zogenoemde 'jailbreak' worden uitgevoerd, een manier om beperkingen die standaard in iOS zitten weg te nemen."

Bron
Eerst zien dan geloven. Want ik ben wel klaar met die "beloftes". Ook al showen ze het op een video, er is nog niks concreets uitgekomen.
Als er iets concreets is, dan tonen ze het. Het betekent niet dat als ze niets releasen dat er niets concreets is. Ze (de jailbreakers) laten nooit het achterste van de tong zien.
Redenen zijn veelal dat ze;
  • de kwetsbaarheden willen tonen die ze hebben gebruikt,
  • willen wachten tot een (grote) release waardoor ze daarmee een flinke stap kunnen maken voor de community op een grote ipv. minor release. Zeg nou zelf, liever iOS 10 dan 9.x.x en daarmee een kwetsbaarheid onthullen?
  • soms niet de jailbreak willen vrijgeven, sommige, bijv. iH8Sn0w, laten het zien omdat ze het kunnen... niets meer, niets minder.
  • de jailbreak gebruikersvriendelijker willen maken, een gui as you wish, omdat de overgrote meerderheid niet snapt hoe het e.e.a. moet uitgevoerd worden als er een commandline oid. gebruikt moet worden.

[Reactie gewijzigd door Zephyer op 20 juli 2016 21:28]

Toegang tot een jailbroken device kan bij deze ook tegen gehouden worden.
Men heeft de kwetsbaardheid vermeld onder CVE-2016-4631 gedicht via een tweak die gratie te verkrijgen is in Cydia middels diverse repo's, maar ook een van de best bekende 'bigboss' repo.

Bron
Nou vraag ik me af hoe dat zit als je nu de beta van macOS Sierra draait (as I do). Zou het hierop geen probleem zijn, komt er nou ook een update, of wordt het op de to-do list gezet en wordt deze fix in de uiteindelijke release gecombineerd met deze patch?
Ik heb geen updates beschikbaar in de appstore.
Slightly offtopic: ik vraag me dat ook af. Het komt wel vaker voor dat Apple een beta naast reguliere updates uitbrengt. Ik vraag me dan ook af hoe de fixes in (nu) 9.3.3 in 10.0 beta komen.
Deze fout zullen ze waarschijnlijk in de laatste iOS 10 update ook verwerkt hebben. De beta voor iOS 9.3.3 was ook al een paar maanden uit.

Bron

edit; Even beter verwoord.

[Reactie gewijzigd door tom.cx op 20 juli 2016 08:20]

Hoe?
Misschien door het te implementeren in de build? Antwoord is niet zo lastig.

Het kan ook zo maar zijn dat deze bug al niet meer in iOS10 zit, omdat ze al wat langer op de hoogte zijn en het daardoor direxf hebben verwerkt in de code.
Voor test software zal er vermoedelijk niet zomaar een extra bugfix worden uitgerold, die zal gewoon in de eerst volgende update zitten. Dit is dan ook exact de reden dat je test versies NIET in productie omgevingen moet draaien. Naast het feit dat deze bug er potentieel in zit zorgt de experimentele natuur van die software er net voor dat er nog een hoop andere beveiligingsfouten in de testversie kunnen zitten.
Volgens mij mag het feit dat dit ook bij Safari bij simpelweg bezoeken van pagina's al kan gebeuren, wel met diverse uitroeptekens en in bold worden weergegeven. Lijkt mij de grootste kans van besmetting voor de meesten.

Opvallend dat beide updates gister online zijn gekomen trouwens. Vraag me af hoeveel mensen die update al hadden tot ze dit bericht lazen
Beiden kreeg ik gisteren binnen.

Aangezien het wel los zal lopen met de mate waarop ik besmet kan raken heb ik nog niet geupdate maar wel gedownload. De update voor iOS gaat wel over vijf minuten gebeuren.
En dit illustreert het probleem dat ik heb met tablets, ongeacht of het iOS is dan wel Android...

Mijn iPad valt net buiten deze update, dus zelfs security updates kan ik vergeten. Mijn oude android telefoon kan al een groot deel websites niet meer bezoeken vermits hij niet over de laatste certificaten beschikt (simlocked en niet rootable volgens alle gegevens die ik kan vinden). Een android tablet had gelijkaardige problemen (maar heeft reeds de geest gegeven).

Als ik dat dan vergelijk met de pc wereld, vb. Windows of Linux... Op mijn 10 jaar oude convertible tablet (Fujitsu Siemens P1510) kan ik nog redelijk vlot Windows 10 draaien (voldoende voor wat ik van die tablet verwacht), en dat met de laatste security updates. Voor mij is dat een argument om een Windows tablet te overwegen: het merendeel van het gebruik is email/websites/video/boeken, waarvoor het specifieke OS eigelijk geen rol speelt. Maar ik ben meer zeker van updates of zelfs de mogelijkheid van een ander OS... En er is het ganse gamma Windows apps... En met bluestacks of zo zelfs de mogelijkheid tot Android apps...
De kop dekt de lading niet helemaal :D.
Apart om zo'n kop te geven aan het artikeltje wat lijkt te zijn geschreven naar aanleiding van de publiek gemaakte bugfixes van de laatste versies van OSX en iOS van gisteren.

Download de laatste versies van OSX en iOS en het artikel is niet meer relevant.
Het artikel is zeker wel relevant.
Dat apple het lek heeft gedicht wil niet zeggen dat het lek niet bestaan heeft!
En nog eens een zeer groot lek ook, dus dit artikel is zeer relevant.
Betekent dus dat mensen vooral zo snel mogelijk moeten updaten.

[Reactie gewijzigd door Arjant2 op 20 juli 2016 08:18]

Hij zegt niet dat het artikel niet relevant is, hij zegt dat de kop niet klopt. Die is inmiddels aangepast, dus wat de originele kop was weet ik niet, maar t.net kennende zal het wel weer een telegraaf-kop zijn geweest.

Het artikel is inderdaad wel relevant. Ik wist nog niet van iOS 9.3.3 (nog geen melding gehad), maar door dit artikel ga ik straks wanneer ik weer op wifi zit meteen die update installeren.
Hmm... daar ben ik het wel mee eens. Gewijzigd!

Overigens, het verbaast me altijd weer hoe ontzettend veel mensen een update-notificatie in OS X gewoon wegklikken en er werkelijk nooit iets mee doen...
Dat verbaast mij zelf ook. Ik heb gewerkt in een omgeving waar gebruikers zelf verantwoordelijk waren voor de laatste updates. Soms kwamen ze zelfs langs met de klacht dat er een vervelende notificatie terug kwam over een update.
De meeste waren altijd 'te druk' of hadden er 'geen zin in' omdat het te veel tijd zou kosten.

Erg jammer gezien de updates van MacOS vaak snel geïnstalleerd zijn.
Erg jammer gezien de updates van MacOS vaak snel geïnstalleerd zijn.
Als je een ssd hebt misschien. Op m'n mac mini zonder ssd vind ik het lang duren. De updates van Ubuntu gaan vele malen sneller. Ook vind ik de download-grootte redelijk groot voor de inhoud die ze beschrijven. Een paar security updates hoeven toch geen halve gigabyte te kosten? iOS zelfde verhaal, en daar vind ik het erg vervelend dat de telefoon niet gewoon door blijft draaien tijdens het updaten, maar perse moet rebooten en alles "offline" installeren. Wat mij betreft kunnen ze hun update-proces nog flink verbeteren.
De reden dat je telefoon "Offline" gaat en moet rebooten is omdat ze een volledige kopie maken van het iOS besturings systeem (backup) en daarnaast de nieuwe installeren. Dat kost wat meer tijd. Overigens (persoonlijke mening) is een paar minuten stilte toch zo gek nog niet. Héérlijk !
De OS X 10.11.6 Combo update is meer dan alleen een paar security updates, het is een fikse update voor het hele OS. Er zitten ook regelmatig nieuwe features, driverondersteuning voor nieuwe hardware en andere zaken in.

Verder zijn Combo updates cumulatief. Alle voorgaande updates en fixes zitter er ook in. Daarom kun je in één keer van bijv. 10.11.1 naar 10.11.6 updaten.

De security fixes zijn er maar één onderdeel van en flink kleiner. Dat kun je zien aan de Security Update 2016-04 die tegelijkertijd voor Mavericks is uitgekomen, die is aanzienlijk kleiner.

[Reactie gewijzigd door Maurits van Baerle op 20 juli 2016 10:10]

Maar als je op 10.11.5 zit heb je niks aan het opnieuw binnenhalen en installeren van alle updates vanaf 10.11.1. Dan kunnen ze best een .5 naar .6 update er naast zetten. Oftewel precies zoals ik al zei: ze kunnen nog wel het nodige verbeteren aan hun updatemechanisme.
Dat komt omdat ook het onderliggende systeem wordt bijgewerkt en dat heeft eenmaal een reboot nodig.
Serieus? Hoe erg is het dat je telefoon een paar minuten niet bereikbaar is? En dan nog, je moet toch ook een keer slapen? Start de update dan voordat je je ogen dicht doet.

Het is toch van de zotte dat mensen tegenwoordig niet een paar minuten zonder telefoon kunnen.....

En wat het update-proces betreft: probeer jij eens een band te wisselen van een rijdende auto.
Het gaat niet om een paar minuten. Die updates zijn zo traag dat het wel een half uur duurt. En over het algemeen wordt je geattendeerd op updates wanneer je de telefoon gebruikt. Dan ben je dus ergens mee bezig en zit je niet te wachten op een half uur durend updateproces.

Ik gebruik mijn telefoon juist minder dan de meeste andere mensen die ik ken, en kan m best een half uurtje missen. Maar niet op het moment dat ik een notificatie over een update krijg. En omdat ik m minder gebruik ben ik voor het slapen allang die update weer vergeten, want ik denk niet de hele dag aan dat ding, en wordt ik er de volgende dag weer aan herinnerd wanneer ik m wil gebruiken, en dus niet zit te wachten op een half uur "uit". Soms duurt het dagen voordat ik eindelijk een moment heb gevonden dat ik het me herinner *en* de telefoon niet nodig heb. En dat alleen maar omdat ze niet gewoon kunnen installeren tijdens gebruik, zoals ieder ander systeem.

Het enige OS waarbij de updates irritanter zijn dan iOS is windows 10, die ze tijdens het opstarten wil installeren en MS dus voor je heeft besloten dat je best een half uur naar een laadscherm mag kijken voordat je mag beginnen. Maar gelukkig gebruik ik al jaren geen windows meer...
Euh, als je belangrijke Windows/Linux/Android updates hebt, moet het apparaat ook rebooten. Bij sommige updates hoeft dat niet, maar als je iets aan de kern moet updaten, zullen alle OS'en moeten rebooten. Alle! Bij Windows merk je het vaak niet omdat hij het doet voordat/nadat je een systeem uit/aanschakelt.

Maar als je het niet zo vaak gebruikt wat is dan het probleem?
Je kunt de notificatie van update gewoon wegklikken zonder de update uit te voeren. Je gaat verder met je ding en als je klaar bent start je de update.
Hoe moeilijk is dat?
Oh, en het duurt echt geen half uur.
En tijdens het downloaden en voorbereiden kun je je telefoon gewoon gebruiken.

[Reactie gewijzigd door gjmi op 20 juli 2016 20:08]

Blijkt toch weer dat hoe goed het OS ook is (Windows/OSX/etc.) de gebruiker blijft de zwakste schakel.
De gebruiker is altijd de zwakke schakel... echter maar zo zwak als het OS zwak is. Dit zijn bepaald geen kleine bugs en zo lijkt Apple zijn eigen stagefright issue te hebben. Op het verschil na dat Android-gebruikers zoals mezelf geen makkelijke manier hebben om de bug te resolven.
Kunt inderdaad ook best wel aparte dingen lezen in die bugfixes. Zo blijken medewerkers van Trend Micro niet weinig actief te zijn. Maar apart vond ik ook wel de bugfix CVE-2016-4633 betreffende een Intel Graphics Driver. Dacht altijd dat Intel die verzorgde.
Ongeacht wie een driver schrijft, ze worden gedistribueerd door Apple in updates zoals deze. Ik heb in de laatste tien jaar nog nooit handmatig een driver rechtstreeks van de fabrikant moeten updaten, daar zorgt Apple voor.

Dan is het dus ook niet vreemd dat een bugfix in een driver genoemd wordt in de update changelog van een Apple update.

[Reactie gewijzigd door Maurits van Baerle op 20 juli 2016 09:28]

Snap wat je schrijft maar stel dat er daadwerkelijk iets niet helemaal o.k. is binnen die Intel driver dan zou dat wellicht ook voor andere OS-en opgeld kunnen doen toch?
OS X heeft een eigen hardware abstraction layer die totaal niet lijkt op andere OS-en. De drivers zijn dan ook erg specifiek voor OS X en lijken niet op die voor Linux, *BSD of Windows bijvoorbeeld.
Hmm... daar ben ik het wel mee eens. Gewijzigd!

Overigens, het verbaast me altijd weer hoe ontzettend veel mensen een update-notificatie in OS X gewoon wegklikken en er werkelijk nooit iets mee doen...
Als je te maken hebt gehad met software of wifi die het opeens niet meer werkt na een update, ben je natuur wel extra terughoudend als je update notificaties krijgt,
Tja, dat geldt dan toch voor elke bug gerelateerd artikel welke al opgelost is, en het kan dus zijn dat mensen dus al iets kwaadaardigs op hun ios/osx hebben draaien door deze bug... Of vindt je dat het onzin is omdat het Apple's ios/osx is, en dat os is natuurlijk heilig voor jou...
Wat voor een heb je dan? Die moet behoorlijk oud zijn? 3GS ofzo?
Ik heb een iPhone 4 van de zaak. Hij werkt en kan vrijwel alles wat een nieuwe smartphone ook kan (alleen doet hij het iets langzamer).

Enige pluspunt is dat er waarschijnlijk nog zo weinig van zijn dat het niet de moeite is om hem te exploiten ;)
Enige pluspunt? Je zegt net dat hij prima werkt?
Misschien realiseren dat dit een zes jaar oud toestel is en dat het gewoon gezeur is om over updates te praten?
Denk inderdaad dat misbruik ik de praktijk heel erg mee zal vallen want het gaat maar om een klein groepje telefoons. Alles vanaf de 4s kan gewoon worden ge-update. Bovendien zijn er heel erg veel Android toestellen die nooit gepatcht zullen zijn voor stagefright en daar is volgens mij ook nauwelijks actief misbruik van
Lijkt mij een beetje zonde van dat ding toch? Heb zelf geen ervaring met een iPhone maar is wellicht de reactie van Yzord toepasselijk voor je? https://tweakers.net/nieu...eaction=8802445#r_8802445
Het kan zijn dat die bug niet in jou iOS versie zit? ik heb wel eens een update van een oudere versie gehad. Misschien komt het nog of is het niet nodig.

[Reactie gewijzigd door gjmi op 20 juli 2016 09:46]

Op mijn iPhone krijg ik geen updates meer, dus kan ik nu een prima werkend apparaat in de prullenbak gooien?
Nee, natuurlijk niet! Maar volgens mij wist je dat al lang, en wilde je alleen reacties uitlokken...
Dat is ook zo. Koop maar eens een Android telefoon, grote kans dat je na twee jaar geen updates meer krijgt. Tenzij je Nexus hebt natuurlijk.

Bij iPhone krijg je jaren erna wel nog updates.
Het is al langer bekend dat updates op Android moeilijker verlopen omdat de GSM-fabrikant het moet ondersteunen.

[Reactie gewijzigd door ONiel op 20 juli 2016 11:43]

Dat is ook zo. Koop maar eens een Android telefoon, grote kans dat je na twee jaar geen updates meer krijgt. Tenzij je Nexus hebt natuurlijk.
Grote kans dat je na een jaar al geen updates meer krijgt.
Grote kans dat je telefoon voorzien is van een oude Android versie en dat je maanden moet wachten op een update. Of moet ik zeggen "de update", want de kans is groot dat het je enige update is.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True