Apple heeft twee zerodays in Big Sur en Catalina na week nog niet gerepareerd

Apple heeft twee bekende kwetsbaarheden in macOS Big Sur en Catalina niet gedicht, ondanks signalen dat de bug actief misbruikt wordt. De kwetsbaarheid is wel gerepareerd in het nieuwe Monterey, maar oudere versies blijven achter, stellen beveiligingsonderzoekers.

Apple bracht op 31 maart macOS Monterey 12.3.1 uit. Daarin repareerde het bedrijf twee zerodays. Zowel CVE-2022-22675 als CVE-2022-22654 werd volgens Apple actief misbruikt, maar er zijn geen details bekend over dat misbruik. De eerste kwetsbaarheid zit in AppleAVD. De out-of-bounds-write-kwetsbaarheid maakte het mogelijk om code met kernelrechten uit te voeren. De tweede kwetsbaarheid is iets minder ernstig. Het gaat om een kwetsbaarheid in de Intel Graphics-driver die het mogelijk maakt om het kernelgeheugen uit te lezen.

De kwetsbaarheden zijn gerepareerd in macOS Monterey, maar niet in oudere besturingssystemen, schrijft beveiligingsbedrijf Intego. Het bedrijf zegt dat de kwetsbaarheden in macOS 11, ofwel Big Sur, en in macOS 10.15, ofwel Catalina, zitten. Het eerste probleem van AppleAVD is alleen op Big Sur niet gepatcht. Catalina is niet door dat lek getroffen, omdat dat OS die component niet gebruikt. De Intel Graphics-bug treft zowel Big Sur als Catalina. Een onafhankelijke beveiligingsonderzoeker bevestigt dat de AppleAVD-kwetsbaarheid op in ieder geval Big Sur is uit te buiten. Volgens Intego probeert het bedrijf nog een proof-of-concept te maken van de andere kwetsbaarheid, maar dat is lastig omdat details over de bug anoniem bij Apple zijn aangedragen. Intego zegt 'high confidence' te hebben dat CVE-2022-22654 zowel Big Sur als Catalina treft.

Apple heeft nog geen verklaring gegeven waarom het de bugs niet heeft gerepareerd. Het bedrijf komt de laatste jaren steeds vaker onder vuur te liggen door beveiligingsonderzoekers die kwetsbaarheden aandragen, maar die vervolgens niet of niet op tijd worden gerepareerd.

Door Tijs Hofmans

Nieuwscoördinator

06-04-2022 • 11:09

50

Reacties (50)

50
48
27
2
0
9
Wijzig sortering
Of ik lees er over heen maar ik kan niet vinden of je voor deze zerodays fysieke toegang tot de computer moet hebben of dat het ook via online kan? Wie kan daar iets over zeggen?
Volgens vuldb:
The exploitation is known to be easy. An attack has to be approached locally. A simple authentication is needed for exploitation.
Moet dus lokaal (ik lees fysiek) worden uitgevoerd.
Apple heeft nog geen verklaring gegeven waarom het de bugs niet heeft gerepareerd
dat vind ik het jammere. dat je iets in een week niet kan dichten om dat het technisch een ingewikkeld probleem is, kan ik begrijpen, maar zeg in ieder geval dat je bekent bent met het probleem en er aan een oplossing word gewerkt.

obscurity is geen security
Obscurity is wel degelijk een vorm van security. Niet de beste methode, ver van, maar is er wel een.

Beetje hetzelfde als camouflage bij het leger. Het is niet de beste beveiliging tegen een aanval, maar als ze je niet zien kunnen ze je ook niet of nauwelijks raken.
het enigste verschil is dat een eenheid van troepen in een bos, niet door de hele wereld benaderd kan worden, machines gekoppeld aan het internet wel.

en dus kunnen de troepen zich verschuilen tegen een patrouille van een vijandelijke eenheid, maar niemand zou zich kunnen verstoppen van miljoenen pogingen het te vinden
Ook daar is vrij eenvoudig veel aan te doen.

Als ik een wordpress website opzet, installeer ik een plugin die na 3 mislukte inlogpogingen je IP-adres blokkeert.

Je hebt dan al een botnet nodig om serieus wat pogingen te kunnen doen. Zelfs met een botnet van 100.000 kom je dan nog maar tot 300.000 pogingen. Dat lijkt heel wat maar bij een random wachtwoord van slechts 8 characters met 4 kleine letters, 2 speciale tekens en twee characters zijn er al 457.163.239.653.376 combinaties mogelijk. Dat is 15.238.774.655 keer zo veel. De kans is dus maar 1 op 15 miljard dat je op die manier binnen komt.
maar ze kunnen het dus wel dichten omdat het in macOS 12 wel is gedicht.
obscurity is geen security
Eens. Bedenk wel: wachtwoorden, vingerafdrukken, gezichten scannen etc zijn óók vormen van obscurity.

Want je weet hoe je het open kunt krijgen. Het is ‘alleen’ een kwestie van de juiste combinatie vinden.

En ja, dat is vaak onrealistisch complex of tijdrovend maar dat geldt vaak ook voor deze exploits. Je moet al software kunnen installeren op de bewuste computer. Tja, als je dat kan, heb je heel die exploit niet nodig om rottigheid uit te halen.
met tijd en fysieke toegang kan je bijna alles wel, dat klopt.
Waarom is dit nieuwswaardig als Microsoft dit maar maandelijks doet met Patch Tuesdays?
Kritieke beveiligingsupdates patch Microsoft buiten Patch Tuesday om hoor...
Voor zover ik weet alleen als lekken actief misbruikt worden. En bij Apple nu zijn ze ook niet misbruikt.
Op het moment dat een lek actief misbruikt wordt is deze ook kritiek ;)
Schandalig dat dat zo lang op zich laat wachten bij Apple. Lijken steeds lakser te worden naarmate ze meer geld/macht hebben.
Schandalig dat dat zo lang op zich laat wachten bij Apple. Lijken steeds lakser te worden naarmate ze meer geld/macht hebben.
Misschien kan het ook daar aan liggen:
- Apple kon het niet snel oplossen
- vertraging in communicatie
- uitgebreid testen
- niet genoeg programmeurs van bepaalde code
- Corona, iedereen werkt thuis... dan gaat het veel lastig worden om alles goed te regelen
- enzovoort
- Corona, iedereen werkt thuis... dan gaat het veel lastig worden om alles goed te regelen
Elk bedrijf heeft ondertussen al genoeg tijd gehad om zich aan te passen, het zou geen excuus meer moeten zijn.
[...]

Elk bedrijf heeft ondertussen al genoeg tijd gehad om zich aan te passen, het zou geen excuus meer moeten zijn.
Als men thuis werken, hebben ze geen fysiek toegang meer ;)
Dat heb ik ook moeten ervaren, niet echt leuk!
Fysieke toegang om een software probleem op te lossen?
Daarnaast werken over het algmeen alleen de mensen die thuis kunnen werken thuis. Functies waar het noodzakelijk is fysiek aanwezig te zijn werken niet thuis.
Nee, corona is geen goed excuus meer...

[Reactie gewijzigd door Zer0 op 25 juli 2024 16:40]

Inderdaad voor sommige functies mag je op kantoor werken, maar soms mag je niet komen vanwege strenge corona beleid. Fysiek toegang weg, geen toegang tot je computer of je bureaulades, door je geschreven handleiding :P
Ik had mijn baas gevraagd of ik naar kantoor kan gaan... ik kreeg nee als antwoord. Dat bedoel ik, omdat daar op kantoor hoge besmettingen was geweest. Dus geen fysiek toegang meer, tot mijn computer, bureaulades, patchkast, serverkamer, enzovoort. Na 1 weer kon ik weer op kantoor komen.

Dus trek "Nee, corona is geen goed excuus meer" weer terug in je mond! :P
Ik had door mij zelf afgedrukt en ook handgeschreven tips in mijn "handleiding" gezet, bepaalde bestaande oplossingen staan ook erin, omdat ik niet alles kan onthouden.

Als Apple het ook hetzelfde soort probleem heeft ervaren, dan snap ik het erg goed. Daarnaast had ik nieuws ook gelezen dat Apple ervoor had gekozen dat de medewerkers niet terug mogen komen.

Ga je je excuus aanbieden? :P
Dan heeft je werk dat gewoon niet goed geregeld. Die hadden met gemak en veilig bij je thuis een werkplek kunnen inrichten. Dat dat duur is of men wilt dat niet, is een ander verhaal. :) Verder is gebleken dat thuis werken ook bij Apple, prima is gegaan. Soms deed men nog meer zelfs.

[Reactie gewijzigd door vgroenewold op 25 juli 2024 16:40]

Ga je je excuus aanbieden?
Nee, waarom zou ik mijn excuses aan moeten bieden voor het feit dat jouw werkgever na twee jaar corona nog steeds niet geregeld heeft dat jij fatsoenlijk thuis kunt werken?
Voor het feit dat jij nog steeds hadngeschreven documentatie gebruikt terwijl je al tijd had aan kunnen zien komen dat je mogelijk (tijdelijk) thuis moet werken?

We hebben nu al twee jaar de tijd gehad om ons aan te passen.

[Reactie gewijzigd door Zer0 op 25 juli 2024 16:40]

Als je een afgedrukte handleiding gebruikt, die niet digitaal beschikbaar is en waar je collega's geen toegang toe hebben (collega's mogen niet zomaar in je lades gaan zoeken) is er eigenlijk maar één iemand die excuses zou moeten aanbieden ;)

Begrijpelijk dat je niet alles kan onthouden, maar een handleiding die enkel op papier beschikbaar is is simpelweg niet meer van deze tijd. En je hebt inmiddels ook 2+ jaar de tijd gehad om dat te digitaliseren. Dus hier is corona inderdaad geen excuus meer. En eigenlijk is er sowieso geen excuus voor het niet digitaal beschikbaar hebben van belangrijke handleidingen, en deze ook beschikbaar maken voor het team. Als jij plots een maand afwezig of ziek zou zijn en een collega een ernstige storing moet verhelpen moet daarvoor wel de juiste informatie beschikbaar zijn. Een papieren handleiding die in een persoonlijke bureaulade ligt lijkt mij daarbij niet bepaald 'best practice'.

Ook voor toegang tot je computer heb je (of heeft je baas) al 2+ jaar de tijd gehad om dat te regelen. Dat kan door iedereen te voorzien van een laptop, of door bijvoorbeeld een VPN op te zetten zodat je op afstand verbinding kan maken (remote desktop) met je computer op de zaak. Met cloud oplossingen zoals Microsoft 365/Teams kun je ook eenvoudig via je telefoon bij handleidingen e.d. Ook daarvoor is corona dus geen excuus meer.

Apple is een groot bedrijf dat ervaring heeft met grote teams waarbij niet iedereen in dezelfde kantoorruimte zit en broncode op een centrale plek opgeslagen zal zijn. Ik durf daarom vrij zeker te zeggen dat 'Papieren handleidingen' en 'ik heb geen toegang tot de computer op kantoor' geen problemen zijn waar Apple (nu nog) tegenaan loopt. En eerlijk gezegd zou geen enkel bedrijf dat veel met computers werkt hier na 2+ jaar met corona nog tegenaan moeten lopen.

Natuurlijk kan niet alles vanaf thuis, voor onderhoud aan patchkasten of serverruimtes moet je inderdaad soms op locatie zijn. Dit artikel gaat echter over softwarematige zerodays, waarbij fysieke toegang tot een patchkast of server niet nodig zou moeten zijn.
Je kan beter fysiek ff met elkaar sparren over iets. Vind dat ook veel prettiger dan achter een bureau.
Sure, het kan wellicht beter of prettiger zijn, maar dat betekent niet dat het niet op voldoende nivo kan op afstand. Nogmaals, we zijn al twee jaar aan het "oefenen" geweest, we moeten dit nu wel op voldoende nivo kunnen.
Het lijkt mij vreemd dat je wel een bug hebt opgelost in de ene versie en niet de andere. De kans dat de code totaal verschillend is tussen die twee versies maar toch dezelfde fout bevat is zeer klein. En het is spijtig genoeg ook niet de eerste keer dat we Apple redelijk traag zien reageren op dit soort problemen.

Ernstige kwetsbaarheden die een aanvaller in staat stellen om code uit te voeren met de hoogste rechten horen gewoon snel opgelost te geraken. Zeker nadat je de bug zelf wereldkundig hebt gemaakt in een patch van een andere versie en aanvallers er dus massaal op kunnen springen.
Niet kunnen is gelijk aan niet willen. Dan smeren ze je maar een nieuwe computer aan met het zelfde os met een andere naam als je oude Mac niet meer geüpdatet wordt. Mac OS is Mac OS welke versie dan ook. In de homebrew community heb je een patcher die iedere oude Mac naar de nieuwste versie brengt. En het draait ook op oude hardware. Dikke kwatcj dus dat end of support. Ik noem het geplande veroudering en platte commerce en dat is met alles wat met Apple te zien heeft. De ene intel Mac is gelijk aan de andere. Saboteren en mensen voor schut zetten brengt meer geld in de lade en onnodig computers die perfect nog 5 jaar verder kunnen het containerpark dumpen. Koop maar een nieuwe zodat ze het weer kunnen lappen. Een oneindige cyclus ewaste.
Het is een kwalijke zaak inderdaad dat Apple er een lakse houding op na lijkt te houden. Ik vind dat je mag verwachten dat Apple dit gewoon binnen redelijke termijn oplost voor alle besturingssystemen die nu nog relevant zijn.

Laten we voor de gebruikers hopen dat Apple alsnog haar verantwoordelijkheid neemt voor de gebruikers van systemen die het hier betreft.
Ze zijn uiteindelijk de IBM geworden waar Steve Jobs zo hard tegen vocht.

Hun producten zijn nog steeds goed, maar ze zijn erg complacent aan het worden de laatste tijd.
Juist, hun reclame van toen slaat nu gewoon op hunzelf. haha.
Als je wat beter naar dit soort kwetsbaarheden gaat kijken, blijft er vaak weinig van over. Je moet vaak al fysiek bij de computer kunnen of al admin rechten hebben. Dan kon je dus toch al elke beveiliging omzeilen op 100 andere manieren.

Daar komt bij veel kwetsbaarheden alleen werken onder extreem specifieke situaties. Situaties die in de praktijk zelden voorkomen. Of het werkt bijvoorbeeld alleen als je precies weet waar een programma draait in het geheugen. Maar dat weet je niet, dus je kan hooguit heel vaak gokken en proberen maar er is geen enkele garantie dat het lukt.

De mensen die verantwoordelijk zijn voor de veiligheid, kunnen heus wel een inschatting maken, waar hun aandacht het hardste nodig is. ;)
Kleine typo/vergissing: Catalina ipv CatalinE
OS 12.4 is net in Beta beschikbaar gekomen voor testers.
Misschien dat het daarin opgelost is?
Dit is het bedrijf dat het wachtwoord in plain text in het "password hint" veld van geëncrypteerde partities zette. Dit is ook het bedrijf waar je een tijd lang authenticatie kon omzeilen door gewoon het wachtwoord-veld leeg te laten en op enter te drukken, waarna dit in een bepaald (redelijk hoog) percentage van de gevallen gewoon zou werken.

Security is voor Apple enkel een onzinnig argument dat ze kunnen gebruiken om anti-competitief gedrag goed te praten. Verder is het écht niet iets wat ze serieus nemen, of waar ze veel kaas van hebben gegeten.

[Reactie gewijzigd door RobinJ1995 op 25 juli 2024 16:40]

Kun je voor context aangeven wanneer je voorbeelden een issue waren?

Met Windows was het in de 90's ook eenvoudig het loginscherm te omzeilen
Dat waren best wel high profile cases, dus niet zo lastig om die te vinden:

https://nakedsecurity.sop...your-mac-again-right-now/

https://arstechnica.com/i...ith-no-password-required/

Wat Windows 7 voor bugs heeft/had is niet zo relevant. Niemand pretendeert dat Windows echt heel veilig is ofzo.
Nou ja, dit zijn bugs die gevonden worden en opgelost zijn. Dat gebeurt bij elk systeem. Dat dit erbij wordt gehaald met een bash naar het Security-beleid van Apple suggereert dat het heel uitzonderlijk is wat er gebeurt.
Dit soort extreem amateuristische bugs zijn niet zomaar even "bugs die gevonden worden en opgelost zijn". Dit zijn het soort issues dat met een beetje een half-competent security-beleid nooit hun weg naar de systemen van klanten hadden moeten vinden. Een klein beetje automated testing (wat wel echt de minimum is) zou beide van deze gevallen zonder enig probleem opgevangen moeten hebben.

[Reactie gewijzigd door RobinJ1995 op 25 juli 2024 16:40]

Thanks! Dat is wel treurig inderdaad..
Wat heeft windows van 3 decennia geleden er mee te maken? Sindsdien zijn er al 7 consumentenversies windows geweest...
Juist. Ik denk dat je mijn intentie dan ook verkeerd interpreteert. Ik vroeg wanneer die security issues van apple plaatsvonden in de veronderstelling dat het (net als met windows) om issues van 30 jaar geleden zou gaan en dus niet relevant. Jij en ik zijn het dus met elkaar eens.

Wat ik niet wist is dat de apple issues uit 2017 stammen.
Het was op Windows 7 nog lange tijd mogelijk om een administrator account aan te maken door een installatieschijf te gebruiken en dan in cmd te gaan.
En in macOS is het nog steeds mogelijk om met een installatieschijf/USB simpelweg via terminal, zonder tussenkomst van credentials, wachtwoorden van accounts te resetten. Geen trucjes nodig, alleen Terminal -> resetpassword
Als je de gratis update naar het nieuwste OS had gedaan, dan is het inderdaad opgelost.
Zolang je Mac dat nieuwste gratis OS ondersteunt natuurlijk. Ik heb hier ook een machine die (volgens Apple) geen Monterey kan draaien. Gelukkig is dit Tweakers en draait het hier thuis wel, maar dat is beside the point.

Wel vind ik het bericht een beetje tendentieus: twee zerodays in Big Sur en Catalina na een week nog niet gedicht. Maar het blijkt te gaan om 2 bugs in Big Sur en ééntje in Catalina, terwijl dat in het meest recente (inderdaad @Shuisman) gratis OS wel degelijk al is gepatcht.

Natuurlijk, het is netjes als het in één keer overal is opgelost voor alle versies die nog draaien, maar het kan best zijn dat ze in Big Sur tijdens het patchen op een ander probleem zijn gestuit, wat eerst opgelost moet worden. Dan is een week ineens zo voorbij.

En ter vergelijking: op het ongepatchte Big Sur ben je aangewezen als je een Mac hebt uit 2014.
Samsung meldde gisteren dat op je Galaxy S9 uit 2018 niet langer eens per kwartaal een security update krijgen.
Precies: Bij macOS is het 'al een week niet gepatched' terwijl Samsung voor haar Android versies 9 t/m 12 er rustig 2,5 maand over doet om een veel gevaarlijkere exploit te fixen. CVE-2022-22292 wordt niet eens genoemd op tweakers. Maar dat mag je niet schrijven want dan ben je een fanboi.
Ik denk dat vooral de eigen interfaces en de gesloten hardware de faktuur (winstmarge) naar boven aan't trekken is. We zien dat elke generatie van machines erger en erger worden. Dat heeft op z'n impact op de recoverymogelijkheden.
Zelf raad ik het aankopen van Apple hardware omwille van die politiek die Apple voert - sterk af.
Een gesloten produkt mag dan wel kwalitatief in orde zijn - het kan nog altijd fout gaan - en als je geheugen, cpu, gpu, opslag e.v.a. componenten niet kan vervangen, laat staan uitlezen in een identiek toestel dan sta je daar. Zie de mac studio!
Los van de video van Louis Rossman, waarbij een van die Apple laptops SATA kabels hadden die kapot gingen 8)7

Op dit item kan niet meer gereageerd worden.