Apple heeft ernstig macOS-lek met internetshortcuts nog niet volledig gedicht

Apple heeft een kwetsbaarheid gedicht die het mogelijk maakt om code uit te voeren door middel van internetsnelkoppelingen, maar die fix blijkt niet goed te werken. De prefix file:// wordt weliswaar geblokkeerd, maar de fix is hoofdlettergevoelig, dus File:// werkt nog wel.

Security-onderzoeker Park Minchan ontdekte de kwetsbaarheid, die zich bevindt in de inetloc-snelkoppelingen, die verwijzen naar een internetlocatie. Toch is hun bestemming om te buigen met de bovengenoemde prefix. Dat is niet de bedoeling, aangezien file:// in macOS Big Sur niet geaccepteerd wordt in een inetloc-snelkoppeling, maar Apple heeft schijnbaar per ongeluk deze regel in zijn OS hoofdlettergevoelig gemaakt, waardoor hij alsnog met gemak uit te buiten is.

Minchan had de kwetsbaarheid op 21 september al gemeld aan Apple, maar heeft tot op heden nog geen reactie gekregen. Ars Technica heeft de proef op de som genomen en wist de kwetsbaarheid uit te buiten op macOS Big Sur 11.6, de recentste versie van het besturingssysteem. Minchan waarschuwt dat dergelijke bestanden bij opening zonder enige verdere waarschuwing hun functie uitvoeren en dat voorzichtigheid met .inetloc-bestanden geboden is.

Ars PoC .inletloc vuln macos — De code van een momenteel werkende *exploit*. Beeld via Ars Technica

Reacties (63)

bartje 23 september 2021 12:46

Minchan had de kwetsbaarheid op 21 september reeds gemeld aan Apple

en heeft daarna nog geen 2 dagen gewacht met openbaar maken.

dit is natuurlijk wel gruwelijk fout gegaan bij zowel developers als bij de testers.
maar er is toch een standaard periode van 3 weken voor dat je aangekaarte security bugs openbaar maakt of zo iets?

Lithcake @bartje • 23 september 2021 15:15

Wellicht is het zo dat de 'originele' kwetsbaarheid (nl. de RCE via file:// prefix) veel verder vantevoren is aangegeven. De researcher heeft vervolgens na die periode geconstateerd dat het nog steeds een probleem is (door slecht testen op randvoorwaarden met upper/lower case).

Ik speel nu even advocaat van de duivel door te zeggen dat het dus mogelijk is dat het probleem dus al inderdaad langer dan 3 weken speelt, hij heeft enkel de constatering 2 dagen geleden gepost dat het nog steeds een probleem is.

Dat zeggende: het was netjes geweest opnieuw aan de bel te trekken en dit opnieuw het traject te laten doorlopen.

*edit spelling*

[Reactie gewijzigd door Lithcake op 29 juli 2024 09:40]

itsme @bartje • 23 september 2021 13:12

Mee eens, de researcher heeft deze kwetsbaarheid wel heel snel in de openbaarheid gebracht.
Van responsible disclosure is geen sprake. Overigens was dit nieuws gister al elders te vinden, dus eigenlijk maar 1 dag gewacht.

Power2All @bartje • 23 september 2021 14:59

er is toch een standaard periode van 3 weken voor dat je aangekaarte security bugs openbaar maakt of zo iets?

Dat is meer een regel onderling, maar is voor de "netheid".
Apple reageerd wel vaker niet op dingen, maar wel mee eens dat ie wat langer had mogen wachten op openbaar maken.

SinergyX 23 september 2021 12:23

Zou die fix dan echt hardcoded 'file' in de code hebben als exception? Dat geval moeten ze dus elke variant opnemen, File, fIle, FILe, FiLE, etc, zou wel dom zijn

vectormatic @SinergyX • 23 september 2021 12:25

Gewoon protocol.toLowerCase().equals('file'), of de object C variant er van, alleen zijn ze hier de toLowerCase vergeten

RobIII @vectormatic • 23 september 2021 12:41

Je wil een case-insensitive compare doen, dan hoef je niks te lowercasen en voorkomt verrassingen

[Reactie gewijzigd door RobIII op 29 juli 2024 09:40]

vectormatic @RobIII • 23 september 2021 13:01

hah, die edgecase kende ik nog niet, gelukkig kom ik over het algemeen weinig diakrieten tegen

amx @vectormatic • 23 september 2021 13:32

kijk ook het voorbeeld waar het misging uit de comments van die link
https://gizmodo.com/a-cel...eople-puts-three-m-382026

vectormatic @amx • 23 september 2021 13:44

Mja, als ik even mijn eigen kijk mag geven is het niet persee die turkse I die tot een paar doden leidde, meer een gevalletje heethoofdigheid....

Mavamaarten @RobIII • 23 september 2021 13:02

Schuldig! Die lint warning heb ik vroeger al eens genegeerd onder het mom "de content die wij serveren is gewoon Engels". Tot we een keer een klant uit Turkije hadden die vage problemen had, en de lowercase/uppercase i was inderdaad de schuldige.

aikebah @vectormatic • 23 september 2021 20:16

Wel ff precies andersom coderen natuurlijk om geen NullPointerException / null-dereference te krijgen

vectormatic @aikebah • 23 september 2021 21:21

Ja, en zoals RobIII zei, een .equalsIgnoreCase

Was ook meer pseudocode dan een pullrequest richting apple

Heidistein @vectormatic • 23 september 2021 12:53

offf, draai hem om! Sta alleen https, http, ftp, webdav, nogwat:// toe... Meteen van alle gezeur af

RobIII @Heidistein • 23 september 2021 13:14

En dan een heleboel boze mensen achter je aan krijgen omdat je alle custom protocols (discord, whatsapp, vage apps, in-house-ontwikkelde-apps, noem-maar-op) breekt. In dit geval gaat whitelisten niet werken omdat je nooit een complete lijst kunt hebben van alle custom protocols. Je zou een optie in de browser kunnen overwegen met een "only allow known protocols (http, https, ftp, gopher, ...)" o.i.d. maar daarmee maak je de browser (en UX) vrij kreupel.

[Reactie gewijzigd door RobIII op 29 juli 2024 09:40]

ocwil @RobIII • 23 september 2021 15:10

Natuurlijk voeg je een methode toe zodat een discord/wa/etc... applicatie zijn protocol extensie kan registreren op de lokale whitelist.

breezie @ocwil • 24 september 2021 11:53

En daarmee de hete aardappel doorschuiven naar de developers die voor allerlei browsers op verschillende manieren hun toepassing aan de whitelist moeten toevoegen.
En als je geluk hebt gooit de browserbouwer na enige tijd dan eens hun API om zodat alles weer breekt en er geen rekening meer gehouden wordt met die oorspronkelijke whitelist.

Peran @RobIII • 24 september 2021 11:31

Nu je dit zo zegt had ik een white list wel verwacht van Apple eigenlijk.
Anderen hier ook?

comatoast @SinergyX • 23 september 2021 12:27

=== != ==

Stijnvi 23 september 2021 12:38

En men blijft maar roepen dat MacOS en iOS zoveel veiliger zijn dan Windows en Android...
Het lijkt me inmiddels wel duidelijk dat die ideeën achterhaald zijn

Muttleyaantje79 @Stijnvi • 23 september 2021 12:47

Volgens mij zijn de enige mensen die dat roepen, de mensen die zeggen dat Apple gebruikers dat roepen. Ik heb een iPhone (gewoon omdat ik dat fijner vind, niet omdat het beter zou zijn) en dat heb ik al sinds de 3GS, maar ik heb iets van zulke strekking nooit gezegd. 🤷‍♂️

Stijnvi @Muttleyaantje79 • 23 september 2021 12:51

https://radar.avrotros.nl...er-dan-windows-gebruiker/

Volgens Radar, die weer een onderzoek van de BBC aanhaalt, is het toch wel echt het idee onder MacOS/iOS gebruikers dat het veiliger is dan Windows/Android

satoer @Stijnvi • 23 september 2021 13:44

Tja, Apple gebruikers zijn toch ook gewoon veiliger. Hoe groot is de lijst van malware en virussen specifiek voor Mac OS / iOS vergeleken met dat van Windows en Android. Ja, ik snap dat Apple gezien hun marktaandeel ook minder getarget worden door virusbakkers. Maar dat doet er niet toe, feit blijft dat Apple gebruikers minder kwetsbaar zijn.

Little Charlie @Muttleyaantje79 • 23 september 2021 23:56

Helaas, ik heb zelfs een ban op nu.nl omdat ik iemand met link erop wees dat hij uit zijn nek lulde. Je mag daar niet kritisch zijn over apple, want dan ben je een fanboy.

Ging om deze link btw
https://www.forbes.com/si...lionaire/?sh=417c47ea23f8

BastiaanCM @Stijnvi • 23 september 2021 13:19

Want 1 fout maakt het OS gelijk niet veiliger dan een ander ? Niet mijn logica.

Little Charlie @BastiaanCM • 24 september 2021 15:33

Zie het artikel wat ik link hier net boven. Het gaat over het aantal exploits dat ze hebben wat ze onveiliger maakt.

Verder is de oplossing die ze voor het initiële probleem hadden natuurlijk lachwekkend slecht als het al verslagen kan worden door een hoofdletter.

watercoolertje

Apple

@Stijnvi • 23 september 2021 12:46

Mensen die roepen dat de security beter is op X dan op Y neem ik ook niet serieus, in basis is er natuurlijk een verschil maar in de praktijk zoeken ze gewoon wat langer door als het moeilijker te vinden zijn. En of je er nou 1 of 10 vindt doet er ook weinig toe, als je via 1 lek binnen kan komen heb je die andere 9 ook niet nodig...

[Reactie gewijzigd door watercoolertje op 29 juli 2024 09:40]

Verwijderd @Stijnvi • 23 september 2021 13:28

Ik zat ook inderdaad al te wachten op een onderbouwde reactie van diegenen die standaard als validatie "De beveiliging van Apple is de beste!" roepen en waarom het Apple ecosysteem gesloten moet blijven.
Realiteit is anders. Realiteit is ook dat ontwikkelaars code schrijven, hergebruiken, oplossingen zoeken op het internet om te gebruiken in hun eigen solutions etc. etc. en dus fouten kunnen maken of introduceren. Persoonlijk vind ik het moeilijk te geloven dat het gros van de techneuten bij Apple per definitie beter, anders en "more skilled" zijn dan die die bij Microsoft, Google, Citrix or whatever werken. En mensen zijn nu eenmaal de zwakste schakel voor wat betreft security.

MazDaMan1970 @Stijnvi • 23 september 2021 13:38

MacOS is gebaseerd op BSD, wat van oudsher veiliger is dan Windows. Neemt niet weg dat Windows de afgelopen jaren steeds veiliger is geworden. Android is sowieso wat systeem-ontwerp betreft redelijk veilig, maar doordat het een open eco-systeem is, itt iOS komen er veel meer security-issues voor, dan op iOS. Wat zowel bij MacOS & iOS speelt is het feit dat beide OS-sen veel minder wijd verspreid zijn, dan Windows & Android, waardoor het minder snel doelwit is van malware-schrijvers. Keerzijde is dat door de groeiende populariteit van MacOS dit een steeds aantrekkelijker doelwit wordt...

Cuqebaqer @Stijnvi • 24 september 2021 00:16

Voorheen met een klein afzet markt was dit ook zo. Er waren gewoon te weinig mac gebruikers. Nu dit sinds de Apple hype allemaal enorm is veranderd is het dus ook logischer dat er veel meer problemen komen.

novasurp @Stijnvi • 23 september 2021 13:30

Als er een lek in Windows zit is dat meestal geen nieuws.

laptopleon 23 september 2021 12:34

Als ik zoiets lees, vraag ik me toch wel eens af hoeveel mensen anno 2021 nog bijlagen uit spam openen, voor zover die nog door het spamfilter heen komen.

SunnieNL

@laptopleon • 23 september 2021 12:39

kleine gok.. rond de 34%
Dat is namelijk ook het percentage mensen wat hier in het bedrijf op test phishing links klikt
Daarnaast moet het spamfilter het ook maar net tegenhouden.

Ook kun je dit natuurlijk in meer zaken gebruiken dan alleen in mail. Dit kun je stoppen in PDF, Docx, websites zelf, etc.

laptopleon @SunnieNL • 23 september 2021 13:39

Verbazingwekkend, die 34%. Moeten we dan niet (nog) meer aan preventie doen?

Verschil is wel dat, als ik het goed begrijp, dit niet zonder waarschuwing vanaf een website kan. Als je bijvoorbeeld een pdf download, vraagt je Mac-browser eerst of je het zeker weet / waarmee je het wil openen of waar je het wil bewaren.

Er moeten eerst ‘foute’ commando’s ergens op je Mac staan, voor je er op deze manier naar kunt linken. Daarvoor is alleen een link vanaf een e-mail of website niet genoeg. Vandaar de bijlage. Daar staat de code in waar de link naar verwijst.

911GT2 @laptopleon • 23 september 2021 13:59

Ik zou niet aan meer voorlichting doen... ik denk dat het een probleem is wat zichzelf oplost... Na een keer op zoiets klikken leer je het wel af voor volgende keer. En anders iets met Darwin...

Wraldpyk @SunnieNL • 23 september 2021 14:01

Op wellke grootte van het bedrijf hebben we 't dan? Als 't er 3 mensen zijn dan heeft er eentje geklikt maar dat is niet een significante maatstaaf.

SunnieNL

@Wraldpyk • 23 september 2021 14:04

3000+ (grote van het bedrijf)

Op andere onderzoeken online vind ik ook dat het getal tussen de 17-35% zit van mensen die klikken op een spammail. Hoe vaker een mail binnen komt hoe meer mensen geneigd zijn er blijkbaar toch op te gaan klikken.

[Reactie gewijzigd door SunnieNL op 29 juli 2024 09:40]

thomvh @SunnieNL • 24 september 2021 00:29

Ik klik er altijd op. Want ik wil weten wat voor een gekke pagina het team deze keer weer bedacht heeft om me op de vingers te tikken 😅🤣

amx 23 september 2021 13:03

Ik snap dat het een exploit kan zijn, en dat ze het nog eens moeten patchen tot daar aan toe, maar om er geen CVE van te maken snap ik niet helemaal. Is het punt dat ze maken dat CVE's alleen de kwetsbaarheid vergroten?

Ook mis ik compleet in de originele post van de auteur de hoeveelheid rechten die een dergelijke exploit heeft. Heb je dan automatisch root access?

TheMak 23 september 2021 13:38

Dat ‘21 september al gemeld’ snap ik niet helemaal. Ze hebben dus amper de tijd gehad om te reageren.

DDX 23 september 2021 14:06

Apple mag ook wel eens wat doen om updates wat harder te forceren, genoeg gebruikers die nog op bijvoorbeeld osx 11.4 draaien en aantal updates achter lopen.
Mensen installeren het niet omdat de update installatie soms wel een uur kan duren.
(dan doe je dit toch eind van de dag zou je zeggen...)

Maar gewoon wat meer popups geven, uiteindelijk pushen dat gebruikers updaten zou wel prettig zijn.
11.6 update van deze maand in de media wel roepen direct installeren want kritiek lek, maar behalve kleine popup binnen het os krijg je verder geen waarschuwing te zien binnen macos.

WhatsappHack

Apple
Networking en security

23 september 2021 16:25

“Minchan had de kwetsbaarheid op 21 september al gemeld aan Apple, maar heeft tot op heden nog geen reactie gekregen.”

Nou nou, op 21 september “al gemeld”, bij publicatie op AT was dat dus zo te zien nog geen 24 uur ervoor.

Zo klinkt het alsof het maanden geleden al gemeld werd.

vectormatic 23 september 2021 12:11

Bwahaha, zon fix en dan alleen lower case meepakken, daar heeft iemand niet opgelet (en de tester zitten slapen)

fapkonijntje @vectormatic • 23 september 2021 12:49

Apple en testen is historisch gezien een zeer zwakke combinatie. Zeker tegenwoordig. Ik weet niet waarom het zo'n zooitje is, mogelijk een budgetkwestie of gebrek aan kennis. Maar als je een beetje in de archieven van Tweakers zoekt, dan vind je bijna iedere week wel een stommiteit van Apple in iOS of macOS. Het hele drama rondom iOS 12 was ook veroorzaakt door het gebrek aan testen van ontzettend voor de hand liggende issues. Ze hebben bij Apple in het begin de software qua architectuur redelijk solide ontworpen. Al was dat niet hun keuze, maar kwam dat automatisch mee met de gekozen (open source) basis van ze. Zodra ze dingen zelf ontwerpen, bovenop die basis, dan merk je dat ook daar zaken niet helemaal vlekkeloos gaan. Een Safari geïntegreerd in het OS is een erg domme keuze waarbij iedereen van Microsoft geleerd heeft om dat vooral niet te doen. Android doet dat ook niet bijvoorbeeld. Maar toch doet Apple dat wel. Idem voor iMessage en dan zonder sandbox ook. Een gat in iMessage/Safari en je systeem staat compleet open.

Als je een beetje in de historie kijkt van issues met iOS en macOS en het forum van Apple bijhoudt of bij een bedrijf werkt dat vooral met macs werkt, dan kom je de problemen wel tegen. En het zijn ook altijd van die voor de hand liggende issues.

Alsof het zo lastig is om dat even op in ieder geval één andere taal te checken.
Rebooten we nooit tijdens een test?
Jammer dat hier het resultaat nog niet van zichtbaar is. Maar ze geven zelf ook aan dat er iets mis is.
Ik bedoel, hoe zeldzaam is zomertijd nou echt?
Weinig schijfruimte is toch een erg voor de hand liggend mogelijk issue?
Basale functionaliteit die je zou moeten testen bij het maken van zo'n feature toch?
Duh...
De bug heeft niet veel impact, maar dit is letterlijk het enige dat die functionaliteit moet doen, nooit naar gekeken, gewoon naar productie?
Is dit niet een beetje onderdeel van je eerste testcases die je verzint?

Er zijn nog veel meer issues dan dit geweest. Macbooks die na een update naar sierra of welke versie dan ook ineens crashte bij een extern scherm. Alsof ze bij Apple nooit externe schermen aangesloten hebben, een dingetje met een plaintext filevault password in de logs en zo nog wat stommiteiten.

Bugs kunnen altijd. Geen software is perfect enzovoorts enzovoorts. Maar de voor de hand liggende onzin die er bij Apple iedere keer aan de hand is doet wel twijfelen aan hun competentie op het vlak van testen. Misschien moeten ze iets minder geld opsparen en iets meer investeren aan een betere ontwikkel en testmethode.

Ik ben na jaren Apple helemaal klaar met die geintjes van ze. Ze hebben beduidend meer bugs dan iets als Windows of zelfs Android, terwijl ze veeeel minder hardware hebben om te ondersteunen. Dat kan toch niet.

The Zep Man

Besturingssystemen
Networking en security

@fapkonijntje • 23 september 2021 13:14

Ik ben na jaren Apple helemaal klaar met die geintjes van ze. Ze hebben beduidend meer bugs dan iets als Windows of zelfs Android, terwijl ze veeeel minder hardware hebben om te ondersteunen. Dat kan toch niet.

Ik denk dat Apple Microsoft volgt, als in dat ze voornamelijk leunen op eindgebruikers om hun software te testen. Dat is een stuk goedkoper dan zelf testers inhuren, maar daardoor zal het vaker voorkomen dat er wat door het net slipt.

fapkonijntje @The Zep Man • 23 september 2021 13:19

Maar Apple biedt geen heel insidersprogramma aan. Microsoft doet dat wel om te ervaren hoe Windows werkt op de honderdduizenden verschillende hardwarecombinaties. Apple doet een beta hier en daar, maar de bugs die daarin gevonden worden fixen ze nieteens voor release. Dan lijken die betas vooral voor de show te zijn.

Testen in productie doet Apple misschien, maar Microsoft zeker niet. Wat ik wel merk is dat als Apple iets doms doet, het al heel snel met de mantel der liefde bedekt wordt door klanten en als Microsoft iets doms doet, dat de wereld te klein is.

FreshMaker @fapkonijntje • 23 september 2021 13:28

Je kunt een beta profiel aanvragen, en in 99% van de gevallen krijg je die ook.
Dan kan je de aanstaande versies testen.

Hoe je het beestje wilt noemen, is aan jou, maar de beta's bij Apple zijn imho hetelfde als de 'insiders' bij MS.
Je kan daar ook kiezen of je net stabiel, bijna stabiel of stabiel neemt

fapkonijntje @FreshMaker • 23 september 2021 13:48

Heb je veel ervaring met het insidersprogramma bij MS? Want ik heb bij beide meegedaan, al sinds Windows Phone en de verschillen zijn gigantisch. Ze lijken misschien op elkaar, maar de hele verwerking van feedback, duur van het insidersprogramma, welke veranderingen erin zitten en hoe groot ze zijn is totaal niet te vergelijken met wat Apple doet.

marhalm @fapkonijntje • 23 september 2021 18:28

En iedereen vermoordt elkaar voor de deuren van de Applestore om maar de eerste iPhone of Mac te kopen.

Met andere woorden: Apple heeft geen enkele reden om kwaliteit te moeten gaan bieden. De klanten pikken alles wat ze doen. Slim gedaan 😀

Dan heb je kapitalisme uitgespeeld.

[Reactie gewijzigd door marhalm op 29 juli 2024 09:40]

aikebah @fapkonijntje • 23 september 2021 20:22

Ah.. vandaar dat er niet om de haveklap kleine issues in Microsoft365 zitten

Ze hebben dan meestal wel een redelijke korte MTTR, maar dat is toch echt in hun productie cloud hoor.

.kernel. @vectormatic • 23 september 2021 12:19

gelukkig zit jij er bovenop

ISaFeeliN @.kernel. • 23 september 2021 12:31

"Railbirds"

t_captain 23 september 2021 12:27

Hier is maar een woord voor: “sukkel”.

Protocol en host in een URL zijn by definition case insensitive. Een developer moet dat weten. En sowieso, als je iets doet met een stting compare, dan denk je altijd aan de vraag hoe om te gaan met afwijkende casings.

downtime @t_captain • 23 september 2021 13:03

Ik vermoed dat die bug, dat het case sensitive is, er altijd al in gezeten heeft maar gewoon nooit is opgevallen omdat het toch wel goed werkte.
En de developer die deze fix heeft geschreven heeft waarschijnlijk gewoon aangenomen dat het case INsensitive zou zijn en daardoor niet verder gekeken. Assumption is the mother of...

t_captain @Verwijderd • 23 september 2021 13:35

Je kunt een ronduit knullige fout (en het niet opmerken daarvan) niet afdoen met de dooddoener dat iedereen fouten maakt. Van een bedrijf met het prestige van Apple mag je beter verwachten.

Verwijderd @t_captain • 23 september 2021 13:46

Knullige fouten zijn nog steeds fouten. En voorzover ik weet is een fout zelden de bedoeling van de maker. Je kan het een dooddoener noemen, je kan Apple zelfs een prestigieus bedrijf noemen (Ik zou het een bedrijf noemen dat zilver produceert maar de kunst verstaat om hun achterban te laten geloven dat ze goud kopen), ik verwacht dat de meeste grote tech-bedrijven fatsoenlijke software leveren. Dat is nooit het geval. Prestige of niet. Een (gezond) bedrijf maakt een afweging tussen kosten en baten. Security en tijd zijn kosten. Juist met de winstpercentage van Apple verwacht ik eigenlijk dat hun investeringen in security minder is dan een Google of Microsoft. Het is dat zij een gesloten ecosysteem hebben... was dat niet het geval geweest en de adoptie breder, dan was het volgens mij één groot bugfest geweest, die IOS en MacOS.

[Reactie gewijzigd door Verwijderd op 29 juli 2024 09:40]

Op dit item kan niet meer gereageerd worden.

Apple heeft ernstig macOS-lek met internetshortcuts nog niet volledig gedicht

Lees meer

Reacties (63)

Sorteer op:

Weergave: