Apple heeft twee zerodays in Big Sur en Catalina na week nog niet gerepareerd

Apple heeft twee bekende kwetsbaarheden in macOS Big Sur en Catalina niet gedicht, ondanks signalen dat de bug actief misbruikt wordt. De kwetsbaarheid is wel gerepareerd in het nieuwe Monterey, maar oudere versies blijven achter, stellen beveiligingsonderzoekers.

Apple bracht op 31 maart macOS Monterey 12.3.1 uit. Daarin repareerde het bedrijf twee zerodays. Zowel CVE-2022-22675 als CVE-2022-22654 werd volgens Apple actief misbruikt, maar er zijn geen details bekend over dat misbruik. De eerste kwetsbaarheid zit in AppleAVD. De out-of-bounds-write-kwetsbaarheid maakte het mogelijk om code met kernelrechten uit te voeren. De tweede kwetsbaarheid is iets minder ernstig. Het gaat om een kwetsbaarheid in de Intel Graphics-driver die het mogelijk maakt om het kernelgeheugen uit te lezen.

De kwetsbaarheden zijn gerepareerd in macOS Monterey, maar niet in oudere besturingssystemen, schrijft beveiligingsbedrijf Intego. Het bedrijf zegt dat de kwetsbaarheden in macOS 11, ofwel Big Sur, en in macOS 10.15, ofwel Catalina, zitten. Het eerste probleem van AppleAVD is alleen op Big Sur niet gepatcht. Catalina is niet door dat lek getroffen, omdat dat OS die component niet gebruikt. De Intel Graphics-bug treft zowel Big Sur als Catalina. Een onafhankelijke beveiligingsonderzoeker bevestigt dat de AppleAVD-kwetsbaarheid op in ieder geval Big Sur is uit te buiten. Volgens Intego probeert het bedrijf nog een proof-of-concept te maken van de andere kwetsbaarheid, maar dat is lastig omdat details over de bug anoniem bij Apple zijn aangedragen. Intego zegt 'high confidence' te hebben dat CVE-2022-22654 zowel Big Sur als Catalina treft.

Apple heeft nog geen verklaring gegeven waarom het de bugs niet heeft gerepareerd. Het bedrijf komt de laatste jaren steeds vaker onder vuur te liggen door beveiligingsonderzoekers die kwetsbaarheden aandragen, maar die vervolgens niet of niet op tijd worden gerepareerd.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 06-04-2022 11:09 50

06-04-2022 • 11:09

50

Lees meer

Apple brengt iOS 16.4.1 en macOS 13.3.1 uit met fixes voor zerodaybugs
Apple brengt iOS 16.4.1 en macOS 13.3.1 uit met fixes voor zerodaybugs Nieuws van 8 april 2023
Proof-of-concept voor gepatchte ernstige kwetsbaarheid in Word verschijnt online
Proof-of-concept voor gepatchte ernstige kwetsbaarheid in Word verschijnt online Nieuws van 7 maart 2023
Google patcht actief misbruikte kwetsbaarheid in Chromes WebRTC-component
Google patcht actief misbruikte kwetsbaarheid in Chromes WebRTC-component Nieuws van 5 juli 2022
Google ontdekte in 2021 recordaantal van 58 zerodays
Google ontdekte in 2021 recordaantal van 58 zerodays Nieuws van 20 april 2022
Apple verhelpt bug in macOS Monterey-upgrade die T2-macs brickte
Apple verhelpt bug in macOS Monterey-upgrade die T2-macs brickte Nieuws van 6 november 2021
MacOS Monterey verschijnt volgende week maandag
MacOS Monterey verschijnt volgende week maandag Nieuws van 18 oktober 2021
Apple heeft ernstig macOS-lek met internetshortcuts nog niet volledig gedicht
Apple heeft ernstig macOS-lek met internetshortcuts nog niet volledig gedicht Nieuws van 23 september 2021
Apple kondigt macOS Monterey aan
Apple kondigt macOS Monterey aan Nieuws van 7 juni 2021
Apple komt met bugfix voor Big Sur-upgrade waarmee Macs in boot loop kwamen
Apple komt met bugfix voor Big Sur-upgrade waarmee Macs in boot loop kwamen Nieuws van 17 februari 2021
Meer producten en artikelen
Beveiliging en antivirus macOS

Reacties (50)

-Moderatie-faq
50
48
27
2
0
9
Wijzig sortering
JoghoJogho 6 april 2022 11:20
Of ik lees er over heen maar ik kan niet vinden of je voor deze zerodays fysieke toegang tot de computer moet hebben of dat het ook via online kan? Wie kan daar iets over zeggen?
emistery @JoghoJogho6 april 2022 11:24
Volgens vuldb:
The exploitation is known to be easy. An attack has to be approached locally. A simple authentication is needed for exploitation.
Moet dus lokaal (ik lees fysiek) worden uitgevoerd.
robertlinke 6 april 2022 11:15
Apple heeft nog geen verklaring gegeven waarom het de bugs niet heeft gerepareerd
dat vind ik het jammere. dat je iets in een week niet kan dichten om dat het technisch een ingewikkeld probleem is, kan ik begrijpen, maar zeg in ieder geval dat je bekent bent met het probleem en er aan een oplossing word gewerkt.

obscurity is geen security
Triblade_8472 @robertlinke6 april 2022 12:33
Obscurity is wel degelijk een vorm van security. Niet de beste methode, ver van, maar is er wel een.

Beetje hetzelfde als camouflage bij het leger. Het is niet de beste beveiliging tegen een aanval, maar als ze je niet zien kunnen ze je ook niet of nauwelijks raken.
robertlinke @Triblade_84726 april 2022 12:44
het enigste verschil is dat een eenheid van troepen in een bos, niet door de hele wereld benaderd kan worden, machines gekoppeld aan het internet wel.

en dus kunnen de troepen zich verschuilen tegen een patrouille van een vijandelijke eenheid, maar niemand zou zich kunnen verstoppen van miljoenen pogingen het te vinden
laptopleon @robertlinke7 april 2022 13:57
Ook daar is vrij eenvoudig veel aan te doen.

Als ik een wordpress website opzet, installeer ik een plugin die na 3 mislukte inlogpogingen je IP-adres blokkeert.

Je hebt dan al een botnet nodig om serieus wat pogingen te kunnen doen. Zelfs met een botnet van 100.000 kom je dan nog maar tot 300.000 pogingen. Dat lijkt heel wat maar bij een random wachtwoord van slechts 8 characters met 4 kleine letters, 2 speciale tekens en twee characters zijn er al 457.163.239.653.376 combinaties mogelijk. Dat is 15.238.774.655 keer zo veel. De kans is dus maar 1 op 15 miljard dat je op die manier binnen komt.
Blokker_1999
@robertlinke6 april 2022 11:56
maar ze kunnen het dus wel dichten omdat het in macOS 12 wel is gedicht.
laptopleon @robertlinke6 april 2022 14:28
obscurity is geen security
Eens. Bedenk wel: wachtwoorden, vingerafdrukken, gezichten scannen etc zijn óók vormen van obscurity.

Want je weet hoe je het open kunt krijgen. Het is ‘alleen’ een kwestie van de juiste combinatie vinden.

En ja, dat is vaak onrealistisch complex of tijdrovend maar dat geldt vaak ook voor deze exploits. Je moet al software kunnen installeren op de bewuste computer. Tja, als je dat kan, heb je heel die exploit niet nodig om rottigheid uit te halen.
robertlinke @laptopleon7 april 2022 09:56
met tijd en fysieke toegang kan je bijna alles wel, dat klopt.
kuurtjes 6 april 2022 14:29
Waarom is dit nieuwswaardig als Microsoft dit maar maandelijks doet met Patch Tuesdays?
Justin0017 @kuurtjes6 april 2022 19:45
Kritieke beveiligingsupdates patch Microsoft buiten Patch Tuesday om hoor...
kuurtjes @Justin00176 april 2022 23:32
Voor zover ik weet alleen als lekken actief misbruikt worden. En bij Apple nu zijn ze ook niet misbruikt.
Justin0017 @kuurtjes7 april 2022 08:27
Op het moment dat een lek actief misbruikt wordt is deze ook kritiek ;)
watercoolertje 6 april 2022 11:12
Schandalig dat dat zo lang op zich laat wachten bij Apple. Lijken steeds lakser te worden naarmate ze meer geld/macht hebben.
DarkAngelX2 @watercoolertje6 april 2022 11:48
Schandalig dat dat zo lang op zich laat wachten bij Apple. Lijken steeds lakser te worden naarmate ze meer geld/macht hebben.
Misschien kan het ook daar aan liggen:
- Apple kon het niet snel oplossen
- vertraging in communicatie
- uitgebreid testen
- niet genoeg programmeurs van bepaalde code
- Corona, iedereen werkt thuis... dan gaat het veel lastig worden om alles goed te regelen
- enzovoort
Zer0 @DarkAngelX26 april 2022 12:23
- Corona, iedereen werkt thuis... dan gaat het veel lastig worden om alles goed te regelen
Elk bedrijf heeft ondertussen al genoeg tijd gehad om zich aan te passen, het zou geen excuus meer moeten zijn.
DarkAngelX2 @Zer06 april 2022 12:33
[...]

Elk bedrijf heeft ondertussen al genoeg tijd gehad om zich aan te passen, het zou geen excuus meer moeten zijn.
Als men thuis werken, hebben ze geen fysiek toegang meer ;)
Dat heb ik ook moeten ervaren, niet echt leuk!
Zer0 @DarkAngelX26 april 2022 12:38
Fysieke toegang om een software probleem op te lossen?
Daarnaast werken over het algmeen alleen de mensen die thuis kunnen werken thuis. Functies waar het noodzakelijk is fysiek aanwezig te zijn werken niet thuis.
Nee, corona is geen goed excuus meer...

[Reactie gewijzigd door Zer0 op 25 juli 2024 16:40]

DarkAngelX2 @Zer06 april 2022 13:12
Inderdaad voor sommige functies mag je op kantoor werken, maar soms mag je niet komen vanwege strenge corona beleid. Fysiek toegang weg, geen toegang tot je computer of je bureaulades, door je geschreven handleiding :P
Ik had mijn baas gevraagd of ik naar kantoor kan gaan... ik kreeg nee als antwoord. Dat bedoel ik, omdat daar op kantoor hoge besmettingen was geweest. Dus geen fysiek toegang meer, tot mijn computer, bureaulades, patchkast, serverkamer, enzovoort. Na 1 weer kon ik weer op kantoor komen.

Dus trek "Nee, corona is geen goed excuus meer" weer terug in je mond! :P
Ik had door mij zelf afgedrukt en ook handgeschreven tips in mijn "handleiding" gezet, bepaalde bestaande oplossingen staan ook erin, omdat ik niet alles kan onthouden.

Als Apple het ook hetzelfde soort probleem heeft ervaren, dan snap ik het erg goed. Daarnaast had ik nieuws ook gelezen dat Apple ervoor had gekozen dat de medewerkers niet terug mogen komen.

Ga je je excuus aanbieden? :P
vgroenewold @DarkAngelX26 april 2022 13:20
Dan heeft je werk dat gewoon niet goed geregeld. Die hadden met gemak en veilig bij je thuis een werkplek kunnen inrichten. Dat dat duur is of men wilt dat niet, is een ander verhaal. :) Verder is gebleken dat thuis werken ook bij Apple, prima is gegaan. Soms deed men nog meer zelfs.

[Reactie gewijzigd door vgroenewold op 25 juli 2024 16:40]

Zer0 @DarkAngelX26 april 2022 13:38
Ga je je excuus aanbieden?
Nee, waarom zou ik mijn excuses aan moeten bieden voor het feit dat jouw werkgever na twee jaar corona nog steeds niet geregeld heeft dat jij fatsoenlijk thuis kunt werken?
Voor het feit dat jij nog steeds hadngeschreven documentatie gebruikt terwijl je al tijd had aan kunnen zien komen dat je mogelijk (tijdelijk) thuis moet werken?

We hebben nu al twee jaar de tijd gehad om ons aan te passen.

[Reactie gewijzigd door Zer0 op 25 juli 2024 16:40]

vosManz @DarkAngelX26 april 2022 13:38
Als je een afgedrukte handleiding gebruikt, die niet digitaal beschikbaar is en waar je collega's geen toegang toe hebben (collega's mogen niet zomaar in je lades gaan zoeken) is er eigenlijk maar één iemand die excuses zou moeten aanbieden ;)

Begrijpelijk dat je niet alles kan onthouden, maar een handleiding die enkel op papier beschikbaar is is simpelweg niet meer van deze tijd. En je hebt inmiddels ook 2+ jaar de tijd gehad om dat te digitaliseren. Dus hier is corona inderdaad geen excuus meer. En eigenlijk is er sowieso geen excuus voor het niet digitaal beschikbaar hebben van belangrijke handleidingen, en deze ook beschikbaar maken voor het team. Als jij plots een maand afwezig of ziek zou zijn en een collega een ernstige storing moet verhelpen moet daarvoor wel de juiste informatie beschikbaar zijn. Een papieren handleiding die in een persoonlijke bureaulade ligt lijkt mij daarbij niet bepaald 'best practice'.

Ook voor toegang tot je computer heb je (of heeft je baas) al 2+ jaar de tijd gehad om dat te regelen. Dat kan door iedereen te voorzien van een laptop, of door bijvoorbeeld een VPN op te zetten zodat je op afstand verbinding kan maken (remote desktop) met je computer op de zaak. Met cloud oplossingen zoals Microsoft 365/Teams kun je ook eenvoudig via je telefoon bij handleidingen e.d. Ook daarvoor is corona dus geen excuus meer.

Apple is een groot bedrijf dat ervaring heeft met grote teams waarbij niet iedereen in dezelfde kantoorruimte zit en broncode op een centrale plek opgeslagen zal zijn. Ik durf daarom vrij zeker te zeggen dat 'Papieren handleidingen' en 'ik heb geen toegang tot de computer op kantoor' geen problemen zijn waar Apple (nu nog) tegenaan loopt. En eerlijk gezegd zou geen enkel bedrijf dat veel met computers werkt hier na 2+ jaar met corona nog tegenaan moeten lopen.

Natuurlijk kan niet alles vanaf thuis, voor onderhoud aan patchkasten of serverruimtes moet je inderdaad soms op locatie zijn. Dit artikel gaat echter over softwarematige zerodays, waarbij fysieke toegang tot een patchkast of server niet nodig zou moeten zijn.
moonlander @Zer06 april 2022 13:46
Je kan beter fysiek ff met elkaar sparren over iets. Vind dat ook veel prettiger dan achter een bureau.
Zer0 @moonlander6 april 2022 14:05
Sure, het kan wellicht beter of prettiger zijn, maar dat betekent niet dat het niet op voldoende nivo kan op afstand. Nogmaals, we zijn al twee jaar aan het "oefenen" geweest, we moeten dit nu wel op voldoende nivo kunnen.
Blokker_1999
@DarkAngelX26 april 2022 11:55
Het lijkt mij vreemd dat je wel een bug hebt opgelost in de ene versie en niet de andere. De kans dat de code totaal verschillend is tussen die twee versies maar toch dezelfde fout bevat is zeer klein. En het is spijtig genoeg ook niet de eerste keer dat we Apple redelijk traag zien reageren op dit soort problemen.

Ernstige kwetsbaarheden die een aanvaller in staat stellen om code uit te voeren met de hoogste rechten horen gewoon snel opgelost te geraken. Zeker nadat je de bug zelf wereldkundig hebt gemaakt in een patch van een andere versie en aanvallers er dus massaal op kunnen springen.
Meiklokje @DarkAngelX27 april 2022 07:13
Niet kunnen is gelijk aan niet willen. Dan smeren ze je maar een nieuwe computer aan met het zelfde os met een andere naam als je oude Mac niet meer geüpdatet wordt. Mac OS is Mac OS welke versie dan ook. In de homebrew community heb je een patcher die iedere oude Mac naar de nieuwste versie brengt. En het draait ook op oude hardware. Dikke kwatcj dus dat end of support. Ik noem het geplande veroudering en platte commerce en dat is met alles wat met Apple te zien heeft. De ene intel Mac is gelijk aan de andere. Saboteren en mensen voor schut zetten brengt meer geld in de lade en onnodig computers die perfect nog 5 jaar verder kunnen het containerpark dumpen. Koop maar een nieuwe zodat ze het weer kunnen lappen. Een oneindige cyclus ewaste.
Naafkap @watercoolertje6 april 2022 11:27
Het is een kwalijke zaak inderdaad dat Apple er een lakse houding op na lijkt te houden. Ik vind dat je mag verwachten dat Apple dit gewoon binnen redelijke termijn oplost voor alle besturingssystemen die nu nog relevant zijn.

Laten we voor de gebruikers hopen dat Apple alsnog haar verantwoordelijkheid neemt voor de gebruikers van systemen die het hier betreft.
Mayonaise @watercoolertje6 april 2022 12:06
Ze zijn uiteindelijk de IBM geworden waar Steve Jobs zo hard tegen vocht.

Hun producten zijn nog steeds goed, maar ze zijn erg complacent aan het worden de laatste tijd.
SuperDre @Mayonaise6 april 2022 14:56
Juist, hun reclame van toen slaat nu gewoon op hunzelf. haha.
laptopleon @watercoolertje7 april 2022 14:08
Als je wat beter naar dit soort kwetsbaarheden gaat kijken, blijft er vaak weinig van over. Je moet vaak al fysiek bij de computer kunnen of al admin rechten hebben. Dan kon je dus toch al elke beveiliging omzeilen op 100 andere manieren.

Daar komt bij veel kwetsbaarheden alleen werken onder extreem specifieke situaties. Situaties die in de praktijk zelden voorkomen. Of het werkt bijvoorbeeld alleen als je precies weet waar een programma draait in het geheugen. Maar dat weet je niet, dus je kan hooguit heel vaak gokken en proberen maar er is geen enkele garantie dat het lukt.

De mensen die verantwoordelijk zijn voor de veiligheid, kunnen heus wel een inschatting maken, waar hun aandacht het hardste nodig is. ;)
mcyh 6 april 2022 11:17
Kleine typo/vergissing: Catalina ipv CatalinE
Barthvis 6 april 2022 13:50
OS 12.4 is net in Beta beschikbaar gekomen voor testers.
Misschien dat het daarin opgelost is?
RobinJ1995 6 april 2022 11:25
Dit is het bedrijf dat het wachtwoord in plain text in het "password hint" veld van geëncrypteerde partities zette. Dit is ook het bedrijf waar je een tijd lang authenticatie kon omzeilen door gewoon het wachtwoord-veld leeg te laten en op enter te drukken, waarna dit in een bepaald (redelijk hoog) percentage van de gevallen gewoon zou werken.

Security is voor Apple enkel een onzinnig argument dat ze kunnen gebruiken om anti-competitief gedrag goed te praten. Verder is het écht niet iets wat ze serieus nemen, of waar ze veel kaas van hebben gegeten.

[Reactie gewijzigd door RobinJ1995 op 25 juli 2024 16:40]

Sebben @RobinJ19956 april 2022 11:30
Kun je voor context aangeven wanneer je voorbeelden een issue waren?

Met Windows was het in de 90's ook eenvoudig het loginscherm te omzeilen
nst6ldr @Sebben6 april 2022 11:39
Dat waren best wel high profile cases, dus niet zo lastig om die te vinden:

https://nakedsecurity.sop...your-mac-again-right-now/

https://arstechnica.com/i...ith-no-password-required/

Wat Windows 7 voor bugs heeft/had is niet zo relevant. Niemand pretendeert dat Windows echt heel veilig is ofzo.
curumir @nst6ldr6 april 2022 12:51
Nou ja, dit zijn bugs die gevonden worden en opgelost zijn. Dat gebeurt bij elk systeem. Dat dit erbij wordt gehaald met een bash naar het Security-beleid van Apple suggereert dat het heel uitzonderlijk is wat er gebeurt.
RobinJ1995 @curumir6 april 2022 13:03
Dit soort extreem amateuristische bugs zijn niet zomaar even "bugs die gevonden worden en opgelost zijn". Dit zijn het soort issues dat met een beetje een half-competent security-beleid nooit hun weg naar de systemen van klanten hadden moeten vinden. Een klein beetje automated testing (wat wel echt de minimum is) zou beide van deze gevallen zonder enig probleem opgevangen moeten hebben.

[Reactie gewijzigd door RobinJ1995 op 25 juli 2024 16:40]

RobinJ1995 @Sebben6 april 2022 11:37
nieuws: Wachtwoordprompt macOS is te omzeilen met eenvoudige truc - update
nieuws: MacOS-bug toont wachtwoord in plaats van hint bij apfs-volume - update

Beide in 2017. Niet bepaald de jaren 90 dus.
Sebben @RobinJ19956 april 2022 11:41
Thanks! Dat is wel treurig inderdaad..
Jogai @Sebben6 april 2022 13:58
Wat heeft windows van 3 decennia geleden er mee te maken? Sindsdien zijn er al 7 consumentenversies windows geweest...
Sebben @Jogai6 april 2022 14:40
Juist. Ik denk dat je mijn intentie dan ook verkeerd interpreteert. Ik vroeg wanneer die security issues van apple plaatsvonden in de veronderstelling dat het (net als met windows) om issues van 30 jaar geleden zou gaan en dus niet relevant. Jij en ik zijn het dus met elkaar eens.

Wat ik niet wist is dat de apple issues uit 2017 stammen.
kevints @Sebben6 april 2022 11:35
Het was op Windows 7 nog lange tijd mogelijk om een administrator account aan te maken door een installatieschijf te gebruiken en dan in cmd te gaan.
Allubz @kevints6 april 2022 12:44
En in macOS is het nog steeds mogelijk om met een installatieschijf/USB simpelweg via terminal, zonder tussenkomst van credentials, wachtwoorden van accounts te resetten. Geen trucjes nodig, alleen Terminal -> resetpassword
Shuisman @dieAndereGozer6 april 2022 12:35
Als je de gratis update naar het nieuwste OS had gedaan, dan is het inderdaad opgelost.
ZwolschBalletje @Shuisman6 april 2022 14:21
Zolang je Mac dat nieuwste gratis OS ondersteunt natuurlijk. Ik heb hier ook een machine die (volgens Apple) geen Monterey kan draaien. Gelukkig is dit Tweakers en draait het hier thuis wel, maar dat is beside the point.

Wel vind ik het bericht een beetje tendentieus: twee zerodays in Big Sur en Catalina na een week nog niet gedicht. Maar het blijkt te gaan om 2 bugs in Big Sur en ééntje in Catalina, terwijl dat in het meest recente (inderdaad @Shuisman) gratis OS wel degelijk al is gepatcht.

Natuurlijk, het is netjes als het in één keer overal is opgelost voor alle versies die nog draaien, maar het kan best zijn dat ze in Big Sur tijdens het patchen op een ander probleem zijn gestuit, wat eerst opgelost moet worden. Dan is een week ineens zo voorbij.

En ter vergelijking: op het ongepatchte Big Sur ben je aangewezen als je een Mac hebt uit 2014.
Samsung meldde gisteren dat op je Galaxy S9 uit 2018 niet langer eens per kwartaal een security update krijgen.
laptopleon @ZwolschBalletje7 april 2022 14:27
Precies: Bij macOS is het 'al een week niet gepatched' terwijl Samsung voor haar Android versies 9 t/m 12 er rustig 2,5 maand over doet om een veel gevaarlijkere exploit te fixen. CVE-2022-22292 wordt niet eens genoemd op tweakers. Maar dat mag je niet schrijven want dan ben je een fanboi.
mutley69 @dieAndereGozer6 april 2022 12:28
Ik denk dat vooral de eigen interfaces en de gesloten hardware de faktuur (winstmarge) naar boven aan't trekken is. We zien dat elke generatie van machines erger en erger worden. Dat heeft op z'n impact op de recoverymogelijkheden.
Zelf raad ik het aankopen van Apple hardware omwille van die politiek die Apple voert - sterk af.
Een gesloten produkt mag dan wel kwalitatief in orde zijn - het kan nog altijd fout gaan - en als je geheugen, cpu, gpu, opslag e.v.a. componenten niet kan vervangen, laat staan uitlezen in een identiek toestel dan sta je daar. Zie de mac studio!
dieAndereGozer @mutley696 april 2022 13:16
Los van de video van Louis Rossman, waarbij een van die Apple laptops SATA kabels hadden die kapot gingen 8)7

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq