Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 80 reacties
Bron: MoAB, submitter: 80466

In het kader van de 'Month of Apple Bugs' heeft veiligheidsonderzoeker LMH een fout in Mac OS X ontdekt die kwaadwillende de mogelijkheid biedt om willekeurige programmacode uit te voeren. Momenteel is er nog geen oplossing voor de veiligheidsfout.

Apple dmg-icoonHet project 'Month of Apple Bugs' is ingesteld door een aantal veiligheidsonderzoekers en heeft als doel om gedurende de maand januari 2007 elke dag met een nieuwe veiligheidsfout in Mac OS X te komen. Een van de hackers, die schuilgaat onder de naam LMH, meldt de nieuwe veiligheidsfout op de projectwebsite. De fout bevindt zich in de ffs_mountfs-functie en maakt het in ieder geval mogelijk om een Denial-of-Service-attack uit te voeren. Waarschijnlijk maakt de fout het ook mogelijk om willekeurige programmacode op een getroffen systeem uit te voeren. De enige mogelijkheid die momenteel bekend is om de fout te misbruiken, is door gemanipuleerd dmg-bestand te downloaden met de Safari-browser. Een tijdelijke oplossing om mogelijk misbruik te voorkomen is dan ook om het automatisch openen van dmg-bestanden door Safari uit te schakelen. In oudere versies van Mac OS X staat deze optie standaard ingeschakeld, in nieuwe installaties van Mac OS X Tiger is deze optie reeds uitgeschakeld.

Eind vorig jaar kwam ook al een veiligheidsfout in Mac OS X aan het licht die gebruik maakte van de functie in Safari die dmg-bestanden automatisch opende. De door LMH gevonden bug in Mac OS X is ook aanwezig in het besturingssysteem FreeBSD, waarop Mac OS X is gebaseerd. De 'Month of Apple Bugs' heeft inmiddels, zoals verwacht, geresulteerd in 10 niet-gepatchte veiligheidsfouten in het besturingssysteem. Volgens de mensen achter het project is het doel van dit project om aan te tonen dat OS X niet feilloos is, maar ze verwachten wel dat het besturingssysteem veiliger zal worden door hun actie. Het project is niet onomstreden, omdat de hackers de ontdekte fouten niet van te voren aan de softwareproducenten melden, waardoor deze niet van te voren een oplossing kunnen bieden voor het veiligheidsprobleem.

Moderatie-faq Wijzig weergave

Reacties (80)

en als opvolging meteen een volgende bug in Apple OS X
( niet helemaal waar natuurlijk, third party software, maar daar kijkt men bij Window Bugs ook zelden naar)
In de Application Enhancer (APE) van Unsanity bevindt zich een kwetsbaarheid, waardoor lokale gebruikers beheerdersrechten kunnen verkrijgen en de systeeminstellingen kunnen wijzigen. APE wordt onder andere gebruikt door de onderzoekers achter het 'Month of Apple Fixes'-project, die de dagelijks door Moab gepubliceerde lekken in Apple-software dichten.

De Application Enhancer laadt plugins met uitvoerbare codes in actieve applicaties. De Moaf-onderzoekers gebruiken de applicatie om zelfgemaakte patches voor de door het Moab-team onthulde kwetsbaarheden te installeren, zo meldt Zdnet UK. Gebruikers van APE kunnen beheerdersrechten verkrijgen door de APE-binary te patchen of te vervangen.

Volgens Landon Fuller van het Moaf-project is het ook mogelijk om een systeem van een afstand te hacken met behulp van APE, door de kwetsbaarheid in het programma te combineren met een remote exploit.

Fuller heeft op de Moaf-site een workaround gepubliceerd waarmee het probleem vermeden kan worden, maar een patch is nog niet beschikbaar, zo meldt Zdnet UK. De onderzoekers van het Moab-project raden na hun ontdekking het gebruik van de Application Enhancer af.
De APE (Application Enhancer) software is berucht buggy en veroorzaakt vele conflicten met diverse commerciële software. Als je een beetje gesteld bent op een stabiel OSX kun je überhaupt deze software beter mijden...
APE is geen deel van OS-X maar losse software.
Ik denk toch niet dat Apple hier al te blij mee zal zijn. Ze krijgen zo natuurlijk wel zonder kosten een aantal bugs toegeworpen waar ze wat mee kunnen en die kunnen ze patchen. Maar tegelijkertijd trekken ze een grote groep mensen aan om misbruik te gaan maken van Mac's ipv PC's. Dus dit trekt voor Apple waarschijnlijk iets teveel aandacht van hackers naar zich toe op de langere termijn.
There's no such thing as bad publicity.
Flauwekul natuurlijk, wat dacht je bijvoorbeeld van de Sony Rootkit zaak?
Windows heeft helemaal geen driver nodig voor een BlueTooth USB-stick. Misschien als je een van die mensen bent die vanwege loze argumenten SP2 niet geinstalleerd heeft. En Linux eerder met 64-bit? Laat me niet lachen. Windows NT 3.1, uit 1993, kon al op de 64-bit Alpha draaien. Linux kon dat pas in maart 1995, en versies daarvoor konden alleen maar op de 386-processor. Sterker nog, Windows NT 3.x kon al SMP, iets wat Linux pas in 1996 onder de knie kreeg.
@Parabellium: Wat betreft hardware... wanneer ik een USB bluetooth stick in mijn Linux PC stop werkt-ie. Windows wil eerst een driver downloaden. Hetzelfde geldt voor een USB WiFI stick, PCMCIA kaarten, etc. Linux ziet ze direct. Windows wil allerhande drivers installeren en natuurlijk een paar keer rebooten. (Mag ik je er even op wijzen dat Linux als een van de eerste, en ruim voor MS een 64 bits kernel klaar had?)
De enige reden waarom Linux 'niet geschikt zou zijn voor de gemiddelde gebruiker' is simpel: de gemiddelde gebruiker is Windows gewend. Linux werkt anders dan Windows, maar dat is niet hetzelfde als gebruiksonvriendelijk.
En er zijn zat bedrijven die een open source based OS uitbrengen: RedHat, Novell (Suse), Mandriva, Sun (Open Solaris). Een open source OS onvolwassen noemen toont weinig inzicht in de echte wereld...
@maxxware: Wat een brakke stick dan, want normaal is het niet nodig. Of heeft ie zijn drivers folder gestript met één of ander tooltje.....
Meanwhile, in 1991, another kernel was begun as a hobby by Finnish university student Linus Torvalds while attending the University of Helsinki.
van http://en.wikipedia.org/wiki/Linux
When development started in November 1988, Windows NT (using protected mode) was to be known as OS/2 3.0
1988... 1993... zit 5 jaar tussen, net als bij Linux dus :)

En wat ze bedoelden met dat Linux eerder 64bit had was toen Intel kwam met de Itanium en AMD met de Athlon64... toen liep Microsoft achter met de 64bit versie van Windows XP, die nog steeds grotendeels niet werkt.

Bottomline: who gives a f@$%, get a mac.
64-bit schiet op zowel Mac, Windows en Linux ondanks alle hype nog niet erg op. Bij XP x64 is er altijd geklooi met drivers en dingen als 32-bit browser plugins die niet werken in 64-bit IE, etc. Bij Linux is 64-bit ook een ondergeschoven kindje, waar veel meer bugs in zitten dan in de tried-and-tested 32-bit code. En op de Mac heeft het hele 64-bit gebeuren twee jaar stilgelegen met de switch van de G5 naar Intel. De 32-bit libraries van OS X zijn nog altijd stabieler en sneller dan de 64-bit libraries, en de benodigde compatibiliteit met 32-bit only G4 en Core Duo zorgde ervoor dat applicatiebouwers zich meer gingen concentreren op 32-bit code.

Het verleden leert dat dit soort dingen erg langzaam gaan. In de vroege jaren 90 draaide Windows 3.11 al 32-bit code, maar anno 2007 wordt nog steeds menig applicatie geleverd met een 16-bit installer.
Positieve publiciteit voor de Open Source Software :Y)
Open source word nooit wat, aangezien de OS'en daarin nog steeds onvolwassen zijn voor het grote publiek. Ten tijde dat een OS heeft bijgebeend staat er al weer nieuwe hardware klaar en loopt het weer achter.

Zo blijft het een eindeloos liedje met open source, mits er eens een bedrijf opstaat en een eigen open source based OS gaat uitbrengen. Niets mis met open source maar voor de gemiddelde thuisgebruiker is het niets. Ga na dat een normale gebruiker al niet weet hoe je een MS systeem moet onderhouden, laat staan met open source waar veel het gezeur van drivers de boven toon voert ;) En tsjah, tweakers gebruiken het mat dat is de kleinste groep.
@Korben: Ik heb Geen service pack 2 geinstalleerd omdat ik geen Windows draai. Maar als ik mijn USB bliuetooth stick bij een kennis in een XP + SP2 doos steek wil het apparaat eerst een installatie CD zien...
Jammer dan voor Apple, als ik een fout in een veiligheidsfout in een auto ontdek, dan ga ik het ook niet eerst aan de fabrikant vertellen die er vervolgens weer twee weken over doet om het openbaar te maken... In die twee weken kunnen er ongelukken door gebeuren, terwijl deze voorkomen kunnen worden als de eindgebruikers er van op de hoogte zijn.
foute vergelijking. Bij een veiligheidsfout aan een auto zitten er weinig nadelen aan het openbaar maken van het probleem.

Maar laat jij als je een auto (om bij je voorbeeld te blijven) bij de arena ziet staan die niet op slot is en een laptop op de achterbank ook de eigenaar omroepen. "Wil de eigenaar van de blauwe volkswagen golf met kenteken 12-34-ab die in vak A staat naar zijn auto terugkeren, zijn laptop eruit halen en de auto op slot doen?" Ik hoop van niet...

De gevolgen van het voortijdig bekend maken van deze fouten kunnen wel eens vele malen erger zijn dan de schade die door het uitstel van het melden ontstaat als de fout pas openbaar wordt nadat de fabrikant hem hersteld heeft.
Bij een veiligheidsfout aan een auto zitten er weinig nadelen aan het openbaar maken van het probleem.
Dat zeg je wel, maar een goed voorbeeld hiervan is de Landwind. De eerste Chinese auto in Nederland waar aanvankelijk nogal wat mis mee was. De ANWB deed daar een crashtest mee en daar kwam deze auto dramatisch slecht uit. Nu kan je een extra balkje laten monteren maar de reputatie is inmiddels al vernield. Zelfs één of andere Chinese pief van het bedrijf kon het niet meer redden.

Zoiets kritieks betkendmaken kan een product echt wel vernielen. Ik denk juist dat bij software dat wat minder gevoelig ligt. Een van de redenen dat ik over zou stappen op Mac OS X is de veiligheid, maar dit hoor je maar al te zelden uit de mond van een leek (=meerderheid).
En dan te bedenken dat de ANWB moedwillig de test bij een te hoge snelheid had uitgevoerd naar wat achteraf bleek. Er was weinig of niets mis met die auto, behalve dat hij erg goedkoop was.

Zo beschermt de europeese autoindustrie zichzelf met behulp van "onafhankelijke" organisaties als de ANWB.
haha dat "zo lek als een zeef" valt nog wel mee, maar het publiek mag idd wel eens van het idee afstappen dat je met osX volkomen veilig bent, want dat is niet meer zo. ;)
Dat alle OSen fouten bevatten wisten we al. Een OS veilig noemen is dus relatief aan andere OSen, en wat dat betreft mag je OSX nog steeds veilig noemen.

De kans dat je met OSX bij normaal gebruik besmet raakt met een virus, of op een andere manier door malware wordt getroffen, is nog steeds vele malen kleiner dan bij het gemiddelde OS, win32.
Ik wordt ook schijt ziek van die mensen die beweren dat je op de Mac helemaal veilig bent. Ik zag laatst een lokale Mac dealer er zelfs reclame voor maken.
Geen enkele Mac gebruiker zal beweren dat OSX feilloos is! Feit is wel dat er tot op dit moment (afgezien van de Office virussen) geen OSX virussen zijn.
Je wilt niet weten hoeveel mensen dat denken. ALs je ze dan op berichten als deze wijst is het allemaal "onzin". Hun macje is heilig en niemand die er wat kwaads over mag zeggen.
@nitraat:

Op zich heeft die dealer gelijk, mensen zijn niet volledig veilig op een Mac (hoewel er inderdaad helaas wel mensen zijn die dat beweren, daar heeft hij ongelijk in).

Verder zijn er nog steeds geen OS X virussen bekend. Dit T.Net artikel heeft niets met virussen te maken maar met een kwetsbaarheid in OS X waar door virussen geen gebruik van wordt gemaakt. Het is ook niet zo waarschijnlijk dat dat ooit gebeurt met deze kwetsbaarheid. Je moet mensen moedwillig iets laten downloaden en uitvoeren, dat kun je net zo goed zonder die kwetsbaarheid uitbuiten als virussschrijver.
Als een hacker een DMG kan verspreiden die gebruik maakt van deze hack, dan had hij toch sowieso al een dmg kunnen distribueren met "foute software".. In beide gevallen zal de gebruiker het DMG bestand downloaden op basis van hetzelfde vertrouwen.
Klopt wel wat hier gezegd wordt. Of het nou de software zelf is of de uitpak software, in beiden gevallen open je het. Ik denk niet dat je software eenmaal na het uitpakken niet gebruikt. Het is ook zo dat Safari al sinds versie 1.x niet langer disk images automatisch mount, maar hier altijd om vraagt.

Het laat natuurlijk niet weg dat Apple dit even moet verhelpen, maar echt kritiek is dit lek niet. Dit aangezien het niet makkelijker wordt om een systeem te misbruiken dan gewoon malifide software te installeren bij het slachtoffer.
Nee, klopt niet. Als je een dmg mount met een executable erin vraagt OSX eerst of je dat weet en wilt. Naar wat ik begrijp omzeilt dit lek deze vraag, dus er kan code worden uitgevoerd zodra je de dmg mount.
Toch niet helemaal correct, de dmg mount gebeurd "remote" waarmee je, door het juist uit te voeren, deze melding onderdrukt.

daarnaast is deze bug al enkele dagen bekent (vanaf 5 januari al zelfs...)
Website van een populair OSX softwaretooltje hacken, backdoor inbouwen. En als er een nieuwe versie van uitkomt de DMG waarmee het verspreid wordt aanpassen.

Gevolg is dat veel mensen die de nieuwe versie downloaden geïnfecteerd zullen raken omdat het zo'n populair tooltje is.
Ik snap dit lek niet helemaal. Het treed in werking als je DMG bestanden download, maar als je deze download dan is een grote kans dat je ze toch al zou gaan openen en installleren, toch?

Ik bedoel, wie download er nu een dmg om daar dan vervolgens nix mee te doen?

Het lek blijft slordig, maar lijkt me iets minder erg dan als ik een willekeurige web pagina oid zou bezoeken en dan zou er iets automatisch installeren.
Iemand die niet weet wat een DMG is of niet weet dat hij een DMG download. Het is redelijk eenvoudig om mensen te misleiden en per ongeluk een fout bestand te laten downloaden. Door de extra handeling wordt deze misleiding een stuk moeilijker.
een .dmg bestand is een Disk Image bestand. Dit is een hele populaire manier om Mac OS X software te verspreiden.

Ter illustratie: in mijn Downloads folder staan 183 bestanden, en daarvan zijn 79 .dmg bestanden....
Precies. En als je software download om te installeren vertrouw je de bron dus al. Of nou de .dmg zelf je OS gaat hacken of de applicatie die je gaat installeren, dat maakt niet zo heel veel uit. Niet in de praktijk tenminste.
Maar wat nu als je in je website een meta-tag zet die automatisch redirect naar een DMG?
Als automatisch launchen van die dingen aan staat dan ben je dus door alleen het bezoek van een website al aan de beurt... Staat die optie uit dan moet je bewust een onbekende DMG die 'opeens' op je desktop staat gaan mounten, wat me al een stukje onwaarschijnlijker lijkt.
De 'Month of Apple Bugs' heeft inmiddels, zoals verwacht, geresulteerd in 10 niet-gepatchte veiligheidsfouten in het besturingssysteem.
Ik tel er 3 (nummers 5, 9 en 10), geen 10.

De meeste fouten die ontdekt zijn in de "MOAB" zaten niet in OS X en veel zelfs niet in software van Apple. Het is dus ook geen maand om bugs in OS X te vinden maar een maand om bugs te vinden in software die ook op OS X draait. Fouten zoals die gevonden zijn in VLC, APE, Omniweb en Adobe Reader vallen mijns insziens lastig onder 'Apple-bugs' te scharen.
Waarom wordt dit als kritieke bug bestempeld dan? Als ik het goed begrijp opent Safari op oudere OS X versies automatisch .dmg bestanden, en door een bug kan er bij het openen van die .dmg code worden uitgevoerd.

Vraag ik me af: als je een OS X computer wilt hacken via een .dmg bestand, dan is het toch veel eenvoudiger je hack gewoon in de inhoud van dat .dmg bestand te plaatsen? Precies hetzelfde effect, veel eenvoudiger en waarschijnlijk veel flexibeler :?.

Overigens lees ik ook niks over mogelijke privilege escalation, met andere woorden: dat je via deze exploit root access kan krijgen en daadwerkelijk het systeem kan vernachelen. Dus eigenlijk is het enige dat je ermee kan het vernietigen van de persoonlijke documenten.
Logisch dat er fouten in zitten, zo kan je ieder softwarepaket wel aan een test onderwerpen.
Slechte publiciteit voor Apple, maar ik denk dat als ze zoiets zouden organiseren voor Windows vista dat het net zo erg is of misschien zelfs wel erger zou uitpakken.
Foutloos programmeren is erg moeilijk, en vrijwel niet haalbaar, fouten houden we altijd en dit soort events zijn mooi want dat verbeterd alleen maar de veiligheid in de toekomst.
De overlast dat deze bugs verzorgen lijkt me minimaal, de meeste mensen weten niet eens hoe ze de fouten kunnen benutten.
Nou, .dmg files worden erg veel gebruikt op de Mac, voor oa distributie van installatiebestanden. Om de vergelijking met Windows te trekken: dit is grofweg vergelijkbaar met een lek in .msi .

Om een voorbeeld te geven: als iemand ergens op een mirror server in een onbewaakt ogenblik een DMG van bv Firefox vervangt door zijn eigen code, zullen er met een beetje pech duizenden mensen zonder het te weten malware downloaden en, omdat ze in de waan zijn dat ze Firefox aan het installeren zijn, zonder aarzelen op "OK" drukken.
een .dmg is als een soort Zip bestand.
Het lijkt me genoeg als er 1 persoon is die weet hoe je de "fout kunt benutten" he. Als jij daardoor al je data kwijt bent, gok ik dat je niet al te vrolijk bent ;)
Helaas hoef je zoiets niet te organiseren voor Windows vista. Dat wordt reeds sind beta 1 gedaan, en zal altijd blijven doorgaan ;)
Die DoS-attack gaat er bij mij niet in. Ik zie niet hoe je zonder arbitrary code een DoS attack kunt uitvoeren. Het beste wat te bereiken is, is dat de Mac in kwestie moet worden herstart. Als je dat DoS wilt noemen, mij best. ;)
DoS = denial of service, kortom er voor zorgen dat de machine zijn service(s) niet meer kan verlenen. Als ik jouw Mac continu laat resetten door deze exploit, zou ik toch wel durven stellen dat het mij gelukt is om een DoS-aanval uit te voeren. Het hoeft dus niet perse om een lawine van traffic te gaan die op het dak van je doel land :).
contine laten resetten zal je niet lukken. Als het jou al mocht lukken om een mac vast te laten lopen met deze exploit gaat de gebruiker jouw dmg bestandje echt geen tweede keer openen.
Zodoende hebben dus, in geval een blondine, 2 x keer een DoS in de vorm van een herstart, totaal goed voor zo'n 3 - 5 minuten tijdverlies.
Zolang dit lek niks anders kan doen dan crashen als iemand er op dubbelklikt, zal het kwa DoS wel loslopen.

We hebben Norton Crashguard ook nooit een DoS-attack genoemd en dat zat er al dichterbij. Die crashte bij het opstarten waardoor je moest herstarten waardoor je weer crashte etc. :7
Effe informeren dat de fout sinds 15 september 2006 reeds gedocumenteerd werd. En die bug is terug te vinden in alle BSD varianten. Verdere info vind je op die site:

http://www.macgeekery.com...ackage_can_crack_mac_os_x

Dus zo nieuw is het allemaal niet!
Ben zeker dat Apple op de hoogte is en zoals gebruikelijk effe gaat wachten (wie weet, wat valt er nog allemaal uit de boom) en dan een security-patch zal uitbrengen zoals gewoonlijk.

En verder wilde ik nog kwijt...
Wat zijn nou 3 bugs... wooaaah... daar ben ik effe niet goed van. We zullen maar zwijgen over XP en/of Vista zeker. Nuja, het is om aan te tonen dat OSX niet veilig is!? Geen enkel OS is waterdicht, er zit overal wel op z'n minst wel één gaatje. Vind dat het OSX het uitstekend doet tot nu toe. 8-)
En jij vind het geen probleem dat een kritieke veiligheidsfout al -vier maanden- bekend en gedocumenteerd is, en dat Apple er nog steeds niets aan gedaan heeft?

En als je dan toch Windows erbij wilt halen... Ik moet zeggen dat Microsoft dit soort fouten toch veel sneller oppakt en verhelpt. Vind dat Microsoft het uitstekend doet tot nu toe.B-)
Blijkbaar heeft MS hier dus het voordeel van jaaaarenlange ervaring met het verhelpen van kritieke bugs... :)
We zullen maar zwijgen over XP en/of Vista zeker.
Hoeveel grote lekken zijn er dan al gevonden in Vista?
wait for Apple to release a fix (this issue was confirmed to them via e-mail after public availability of the MoKB FreeBSD issues, > month ago).
Een maand?
De identieke FreeBSD fout was al op 3 november in de Month of Kernel Bugs ontdekt in FreeBSD versie 6.1
Apple heeft een beetje zitten slapen denk ik aangezien zij nu na ruim twee maanden met dezelfde fout opgescheept zitten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True