Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties

Apple heeft een beveiligingspatch uitgebracht voor OS X-versies Yosemite en El Capitan, waarin twee kwetsbaarheden worden gerepareerd. Ook kwam er een update uit voor de Safari-browser, waarmee eveneens een beveiligingslek werd verholpen.

Details over de update zijn door Apple op haar website gezet. Het gaat om twee lekken met de identificatiecodes CVE-2016-4655 en CVE-2016-4656. Beide zijn zogenaamde zero day-kwetsbaarheden waarmee ongeautoriseerde toegang gekregen kan worden tot de kernel. Verder werd Safari-versie 9.1.3 uitgebracht, waarmee een derde zero day-kwetsbaarheid werd gerepareerd. Dit was CVE-2016-4657, en details van de patch staan op Apples website.

De update volgt nadat Apple eerder deze week al versie 9.3.5 van iOS uitbracht. Daarmee werden ook deze drie zero days verholpen. Door de beveiligingsgaten konden kwaadwillenden toegang krijgen tot de kernel van een iOS-apparaat. Daarmee kunnen onder andere gegevens zoals berichten, telefoongesprekken en informatie uit allerlei apps worden buitgemaakt. Alle drie de beveiligingsgaten werden gevonden door de bedrijven Citizen Lab en Lookout. Omdat Apple voor OS X en iOS veel dezelfde code gebruikt, zijn de bugs dus zowel in de mobiele als het desktop-OS te vinden.

Mogelijk zijn de bewuste zero days al jarenlang misbruikt. Er dook namelijk malware op met de naam Pegasus, en onderzoek naar de bewuste software zou hebben geleid naar de Israëlische NSO Group, eigendom van het Amerikaanse Francisco Partners.

Moderatie-faq Wijzig weergave

Reacties (43)

Voor de nerdy technische achtergrond over de kwetsbaarheid die pegasus gebruikte:
http://sektioneins.de/en/...nerability-explained.html
Lijkt op een simple boundary vunreability, wel een bertje jammer
Zonde, net geen update meer voor Mavericks. :'(
werkelijk van de zotte:

wikipedia
Mavericks is de opvolger van OS X 10.8 (Mountain Lion) en werd op 22 oktober 2013 uitgebracht..

Dit betekent dus de basisveiligheid van Apple systeem software nog geen 3 jaar oud wordt ondersteunt?
Wat doen ze met al die miljarden? ( behalve geen belasting betalen)
Er komt elk jaar een update uit die gratis is. Indien je hardware hebt die op Mavericks is blijven steken, dan praten we over hardware die 5 jaar geleden op de markt is gekomen. Akkoord dat het wat langer mag zijn maar het is zeker niet onredelijk.

Je hardware is daarmee niet meteen afgeschreven, Linux kan een alternatief zijn.
Dat is dus niet waar. De drivers van veel hardware gebruikt in Apple-apparaten is closed source en wordt niet meer gepdatet, en werkt dus niet goed op Linux. Accurater zou zijn: je hardware is daarmee nog niet per se afgeschreven.

Ik heb het geluk een MacBook Pro uit 2008 te hebben, waar OS X El Capitan nog steeds op wordt ondersteund. Zodra El Capitan niet meer wordt ondersteund door Apple zit ook ik met de gebakken peren, want macOS werkt niet op deze computer, en er zijn geen goed werkende wifi-drivers beschikbaar voor Linux en de grafische drivers zijn sub-optimaal (een wifi-dongle zou een optie zijn, maar feit blijft dat dat deel van mijn hardware dan praktisch is afgeschreven).

[Reactie gewijzigd door Bart321 op 3 september 2016 15:36]

Je hebt een 8 jaar oude laptop die nog steeds ondersteund is door het laatste os
Stel dat de volgende osx upgrade niet meer op jou toestel kan dan heb je in de filosofie dat Apple 2 laatste versie ondersteund en elk jaar ene nieuwe versie uitbrengt nog meer dan een jaar support, maw Apple heeft bijna 10 jaar support gegeven op je toestel.

Klagen maar....
Apple gebruikt algemeen verkrijgbare hardware en Linux werkt wel degelijk op een Mac-apparaat. Microsoft Windows gebruikt ook closed source drivers. En op de meeste met Windows geleverde computers draait Linux ook. Vaak werken open source drivers net zo goed als close source drivers. En soms zijn er ook closed source drivers verkrijgbaar voor gebruik onder Linux (legaal).
Linux Mint pakt de Wifi wel en anders kan je nog wat verdiepen in 'Zero Configuration'
Maar een OS is niet ineens niet meer onveilig omdat het geen support meer biedt, de grootste beveiliging is nog altijd de gebruiker die weet wat die doet.
Wat is een goede (simpele installatie) Linux voor een Macbook unibody (de eerste)? Vroeger op Power PC had ik yellow Dog maar die bestaat niet meer voor de Intel Macs.
Als je Yellow Dog kent dan zou ik voor Fedora gaan. Ik denk dat het niet veel uit zal maken wat je precies pakt, kwestie van smaak.
Bedankt voor de tip. Het gaat mij om simpele installatie en goede driver ondersteuning.
Elke moderne linux distro heeft goede driver support. Apple hardware is gewoon run-of-the-mill Intel CPU's en AMD/Nvidia graphics, en dat is waar de problemen kunnen komen. Dan heb ik met nvidia meer succes dan met AMD.

Een simpele installatie is ook elke moderne distro. Ubuntu en Fedora zijn veel sneller / makkelijker te installeren dan Windows zowat.
dank je voor de tips. Ik heb een jaar of 7 niks meer met Linux gedaan en ben er een beetje uit. Ubuntu heb ik vroeger gebruikt, Red hat vond ik minder, suse ging wel.
De drivers van veel hardware gebruikt in Apple-apparaten is closed source en wordt niet meer gepdatet
Het wordt eigenlijk tijd voor een wetje dat bedrijven dwingt drivers Open Source te maken als zij het zelf niet meer ondersteunen. Goed voor het milieu, goed voor de gebruikers :)
Alles wat Mavericks kan draaien kan ook El Capitan draaien. Gewoon updaten dus.
En dan te bedenken dat Microsoft wordt bekritiseerd omdat ze na 13 jaar gestopt zijn met standaard veiligheidsondersteuning voor Windows XP, terwijl er al 7 jaar lang alternatieven waren in de vorm van Windows Vista, 7 en 8. Daar moesten ze toch nog een legacy support systeem voor opzetten omdat veel overheden anders in de problemen zouden komen, en dat loopt nu nog steeds door.
Mavericks draait op systemen uit 2008 en nieuwer, waarmee het dus systemen van 4 jaar oud ondersteunde toen het uitkwam. Nu 8 jaar later valt het doek. Daarmee geeft Microsoft dus anderhalf keer langere support dan Apple op hun primaire OS. Als Apple dan zeker niet onredelijk is, dan weet ik niet waarom er zo gebitched werd op Microsoft.

Overigens kun je Linux support wel vergeten. Drivers van Apple zijn veelal closed source. Ze kunnen misschien wat reverse engineeren, maar met iets basics als Wifi heb je vaak al pech.
Zoals anderen al vertellen kun je makkelijk over na een nieuwe versie als je 5+ jaar oude hardware hebt. Maar verder lees ik nergens dat deze kwetsbaarheid ook in macerick zit. Dus misschien is daar geen fix nodig? Kwetsbaarheden kunnen ook ontstaan bij toevoegen van nieuwe functionaliteiten. Oudere versies hebben dus niet pers een probleem, kan wel natuurlijk. Maar dat is hiet niet duidelijk.
werkelijk van de zotte:

wikipedia
Mavericks is de opvolger van OS X 10.8 (Mountain Lion) en werd op 22 oktober 2013 uitgebracht..

Dit betekent dus de basisveiligheid van Apple systeem software nog geen 3 jaar oud wordt ondersteunt?
Wat doen ze met al die miljarden? ( behalve geen belasting betalen)
Mooie hateboi reactie (nog erger dan fanbois) maar dat slaat natuurlijk nergens op als je bedenkt dat de OS updates gratis zijn. Iets met klok/klepel en alle kansen aangrijpen om Apple aan te vallen.

Dat Apple zoveel meer winst maakt dan andere bedrijven is natuurlijk ook een sprookje. Anders zou iedere investeerder wel aandelen Apple hebben. Waarom ergens anders in investeren als Apple onevenredig winst maakt?
Je koopt geen los OS van Apple, je koopt de hardware, inclusief het recht op het gebruik van het OS. De update van Mavericks, Yosemite / OS X 10.10 is niet dramatisch anders. Een doorsnee gebruiker zal moeten zoeken naar de verschillen. Die update is gewoon ook weer gratis. Dit is hooguit een probleem als je iMac van vr 2007 is, MacBook van vr eind 2008. Dus dan hebben we het over acht negen jaar ondersteuning.
Ten eerste: Zolang je hardware het aankan kan je gewoon upgraden, gratis en voor niets. Uw berekening is verkeerd. Met de beveiliging zit het wel goed. Nieuwe macbook hebben standard encryptie op hun hd, Iphone's trouwens ook en de interne Virus/mallware scanner lijkt zijn werk goed te doen. Ik draai regelmatig mallware test's op Mac en PC en slecht af en toe kom ik iets gevaarlijk tegen op mijn mac terwijl er op de laptops heel wat meer alarmen afgaan, tot zelfs laptops die volledig encrypted waren door een vrius.

Ten 2de:
Elke pc/laptop die die ik upgrade naar een nieuwe OS (van Win 7 naar Win 10) heeft problemen met drivers en bios, er is altijd wel iets dat ik moet fixen. (geluid, scherm, webcams, cursor die weg gaat, fans die op hol slaan...) En die zijn ook niet super oud, allemaal 2011- 2014.

Ten 3de, echte tweakers kunnen gewoon een bootloader instellen en dan kan je alsnog oude mac's met El capitan uitrusten. Ik heb net een Oude 2007 Mac pro nieuw leven ingeblazen met 80, 16gb Ram, CPU swap (nu 8-core, was 4-core) 28, een SSD. 120 een een betere Grafische kaart 50. Alles verliep bijna zonder problemen, enkel de bootloader was even zoeken.

Ten 4de, sinds we op het bureau zijn overgeschakeld naar Mac heb ik veeel minder interventies. Wat de reden ook is, ik stel vast dat we sparen op ICT-kosten omdat alles gewoon werkt. Wat garantie betreft staat Dell en HP nog ver vooruit maar die garantie telt enkel als het iets grondig mis is, niet als je een virus of mallware hebt.
Mavericks is helaas met de introductie van Sierra min of meer EOL. Dat wordt dus upgraden.
Niet min or meer, het is EOL als er nu geen update meer komt. Ik had gehoopt dat ik nog een paar maanden verder kon, in ieder geval totdat Sierra officieel verschijnt. Dat ze deze relatief zware kernel-kwetsbaarheden niet meer oplappen, vind ik een behoorlijke teleurstelling.
Die komt waarschijnlijk 7 september.
Aangezien ML t/m El Capitan allemaal dezelfde systeemeisen hebben en de upgrades gratis zijn zou ik ook niet snappen waarom mensen op het nog altijd relatief onstabiele Mavericks zitten.
Dezelfde systeemeisen wil niet zeggen dat het op alle systemen even goed loopt, deze ervaring deel ik namelijk absoluut niet. Ook komt bij het kostenplaatje meer kijken dan alleen het besturingssysteem zelf. Er is software die bij deze gelegenheid om extra geld vraagt voor compatibiliteitsupdates. Voor mij waren Yosemite en El Capitan ook weer momenten waarop relatief veel software vervangen moest worden.

Ik vind Mavericks ook helemaal niet ‘onstabieler’. Waar baseer jij dat op? Het is eigenlijk vrij simpel, Mavericks is het laatste systeem met, naar mijn mening, een fatsoenlijke gebruikseromgeving; met goed leesbare lettertypes en voldoende contrast. Ik kan op Mavericks merkbaar beter werken en vind het een verademing als ik na uren met El Capitan weer naar Mavericks terugkan.
Zo goed! Geen zero day's meer 8)7 (ik doel op te titel, die nogal vaag is...).

[Reactie gewijzigd door MrBreaker op 2 september 2016 21:47]

Zero Days zijn volgens mij exploits die zo nieuw zijn dat er nog geen patch voor bestaat. Alle devices zijn dus nog kwetsbaar.
In dit geval is de naam Zero Day nogal vreemd inderdaad als het al jren misbruikt wordt. ;)
https://nl.wikipedia.org/wiki/Zerodayattack:
Een zerodayattack (of nuluren- of nuldagenaanval, -aanslag of -dreiging) is een computerdreiging die probeert misbruik te maken van zwakke delen in software die onbekend zijn voor anderen of de softwareontwikkelaar. Zero-day-exploits is software die gebruikmaakt van een daadwerkelijk gat in de beveiliging voor het uitvoeren van een aanval. Deze worden gebruikt of gedeeld door aanvallers voordat de ontwikkelaars van de doelsoftware iets afweten van deze kwetsbaarheid.
Dus niet vreemd, zelfs wanneer het tientallen jaren misbruikt zou worden door iemand kan het nog steeds een zero day zijn.
Dat maakt de naam niet minder vreemd, die doet anders vermoeden ;)
Volgens die omschrijving kan het geen Zero Day meer heten als de ontwikkelaar van het bestaan op de hoogte is, laat staan met een patch komen voor een Zero Day. Dan is het gewoon een kwetsbaarheid of exploid.
Ik begreep altijd dat de naam Zero Day vooral gericht was op het aantal dagen waarbinnen de ontwikkelaar het zou moeten fixen wanneer deze op de hoogte is van de exploit. Het geeft de urgentie van de kwetsbaarheid mee
Kwestbaarheden zijn zelden "nieuw". Veel vaker zijn ze onontdekt, ongebruikt of ongepubliceerd.

Een zero-day is, aldus de engelstalige Wikipedia, een kwetsbaarheid die gebruikt wordt zonder eerst te worden gepubliceert of aangekondigt.

Een kwestbaarheid kan in principe dus al jaren als 'zero-day' misbruikt worden. Pas als deze ontdekt wordt houdt zijn bestaan als zero-day op.
Er staat duidelijk dat ze zero days repareren, er staan niet dat ze "alle" zero days repareren. Helemaal nergens zorgen ze voor verwarring in de titel, het beschrijft het duidelijk zoals het is.
Nee want het zijn al een poos geen zero day's meer, dus feitelijk is het gewoon onjuist.
Ik denk dat ze nu ook meer kwetsbaarheden voor iOS kunnen ontdekken nu de kernel is vrijgegeven bij iOS 10.
De kernel as altijd vrij, het ging over de encrypted kernel cache waar achteraf geen speciale data in bleek te zitten, en dus hebben ze de encryptie achterwege gelaten.

Zie https://www.youtube.com/watch?v=BLGFriOKz6U
Ik dacht dat Lookout zich vooral richtte op Android met hun eigen scanner. Blijkbaar is Lookout toch wat meer dan...
Want voor Linux of Windows krijg je nooit updates?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True