Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 88 reacties

Apple heeft een update uitgebracht voor zijn mobiele besturingssysteem, dat onder meer draait op de iPhone en iPod touch. De nieuwe versie van de software, iOS 4.0.2, dicht het pdf-lek dat de jailbreak van Jailbreakme.com mogelijk maakte.

Apple beloofde de patch vorige week en nu is de nieuwe versie van iOS ook daadwerkelijk beschikbaar voor gebruikers. De exploit maakt misbruik van de wijze waarop de Safari-browser van iOS omgaat met lettertypen in pdf's, twitterde een van de ontdekkers. Dat lek doet denken aan een inmiddels gerepareerde bug in Mac OS X. Adobe brengt binnenkort ook een noodpatch uit, omdat het lek zich ook voordoet in de desktopsoftware Adobe Reader.

De jailbreak die werkte via de website Jailbreakme.com is met de patch onmogelijk geworden: het pdf-lek werd gebruikt om de jailbreak mogelijk te maken. De jailbreak maakte ook gebruik van een tweede lek. Dat is een lek in de kernel van iOS 4 en maakt het mogelijk om de sandbox waarin applicaties draaien, te omzeilen. Dat lek is ook gedicht, zo heeft Apple bekendgemaakt.

De update is sinds donderdagochtend verkrijgbaar voor alle iPhones en iPod touch-versies die geüpgraded kunnen worden naar iOS 4. Daarbij gaat het om de de tweede generatie iPod touch en recenter, de iPhone 3G, 3GS en iPhone 4. Ook de iPad heeft een update gekregen met de naam 3.2.2. De iPhones en iPod touch-exemplaren, waarvan eigenaren geen update willen of kunnen doen naar iOS 4, blijven kwetsbaar.

Update 12:31: De link naar de Apple-pagina over de gedichte lekken is toegevoegd.

iPhone 4 jailbreak iPhone 4 jailbreak
Moderatie-faq Wijzig weergave

Reacties (88)

@pimsaint, dat is 3.2.2 geworden.

erg late reactie van Apple imo, als je iDevice JB was, dan kon je al op verschillende manieren het lek dicht krijgen.
oftewel: met een JB was je veiliger dan zonder :)

[Reactie gewijzigd door shameete op 12 augustus 2010 09:49]

nee... als je jailbreaked was, dan kon je een wijziging aanbrengen om je te waarschuwen en te vragen of je de pdf wel of niet wilt openen. Als je bewust toch die pdf opent (want wie wil nou niet Playboy's 100 most beautiful women.pdf openen), dan kan je nog steeds een leuke hacker op bezoek krijgen.

De patch zorgt ervoor dat de hacks niet meer werkt.
Wel, want er was een patcher uit in Cydia die het lek dichtgooide. Dus shameete heeft gelijk. Met cydia was je veiliger dan met de handelingen van Apple ;)
Je krijgt nog steeds slechts een waarschuwing
De nieuwe PDF Exploit Patcher geeft nu uitsluitend een waarschuwing als een PDF-bestand kwaadaardige code bevat.
als je dus toch snel voor ja klikt, dan gaat de exploit door. Daar gaat het dus om. Nu is de fout er zo uit dat de exploit simpelweg niet meer werkt.
logisch, anders werkte hun eigen JB niet meer :+
de JB is al doorgevoerd, dan kan dat lek ook best afgesloten worden. Nette inbreker ben je dan, maar toch.
Nee, de Exploit Patcher waarschuwt alleen als er daadwerkelijk een exploit wordt uitgevoerd en dan kan je alleen "Exit application" kiezen, in tegenstelling tot de PDF Loader warning die altijd als er een PDF wordt geladen een warning geeft waar je wel ja/nee kan kiezen.
die heb je idd ook, onder de noemer PDF loading warner, echter is er ook PDF Exploit Patcher van Will Strafach, en dat is wel degelijk een patch.
die heb je idd ook, onder de noemer PDF loading warner, echter is er ook PDF Exploit Patcher van Will Strafach, en dat is wel degelijk een patch.
Nee, het is een 'detector' van het type exploit. Je kan er dan voor kiezen door te gaan, of om de applicatie af te sluiten. het gedraagt zich dus meer als virusscanner dan als iets anders. Het lek is en blijft aanwezig.
Daarna is een patch uitgekomen die ervoor zorgt dat de exploit niet meer werkt:

http://www.iphoneclub.nl/...ch-uit-voor-jailbreakers/
Patches moeten steeds nog een zorgvuldige testprocedure doorlopen. Het gat dichten kost maar een dagje werk zodra de oorzaak is gelocaliseerd, maar je moet dan wel nog verifiëren dat de oplossing niet de oorzaak wordt van andere problemen.

Geen reden om dit een late reactie te noemen van Apple. Het is behoorlijk snel in vergelijking met sommige andere bedrijven.
testen gebeurd volautomatisch en kan op enkele uren afgerond worden.
Unit Testing is een hulpmiddel, ik zou het niet als de 'enige manier van testen' aan willen prijzen.

Immers tuurlijk zullen ze grote delen van de code automatisch testen, maar daarnaast wordt er ook echt wel 'met de hand' getest of alles nog klopt. In Theorie zou een 'Unit Test' alles moeten kunnen afvangen, maar in de praktijk valt dit vaak tegen.

De automatische Unit Tests zouden binnen enkele uren afgerond kunnen worden inderdaad, maar daarmee is het testen niet gedaan.

[Reactie gewijzigd door ZpAz op 12 augustus 2010 13:42]

ik zeg laat, niet dat ze niet snel zijn.
ze hadden al veel eerder zo'n lek moeten kunnen vinden, als Comex het vind, kan Apple dat zeker.

maar goed.. het lek is dicht, daar gaat het om.

[Reactie gewijzigd door shameete op 12 augustus 2010 10:09]

Apple moet toch die rommel even testen voor ze het naar de paar miljoen gebruikers pushen. De mensen die de JB oplossing leverden hebben het waarschijnlijk op wel 1 of misschien zelfs 2 apparaten getest en toen beschikbaar gemaakt met een eigen risico stikkertje er op. Dat is gewoon niet mogelijk voor een bedrijf als Apple. Als deze patch om welke reden dan ook schade toebrengt aan een paar procent van de miljoenen apparaten die de patch kunnen installeren dan heeft Apple een heel erg groot probleem en een flinke schade post.

Als je op een schaal werkt zo als Apple dan kun je nu eenmaal niet lager even wat hacken en meteen maar op de markt los laten. Dat is iets voor hele kleine bedrijfjes en hobbyisten die gewoon niet anders kunnen.
Wel jammer dat er geen securityfixes is voor 3G gebruikers die liever op iPhone OS 3 blijven (in verband met performance van iOS 4 op de 3G).
Ja, het had Apple gesierd als ze daar een oplossing voor hadden. :) De beste oplossing is natuurlijk om iOS 4 voor de 3G te fixen.
Of de bugfix/patch via cyda te installeren ...
Welke is dat precies? Dan jailbreak ik 'm bij wijze van spreken vanavond nog
Als je dit topic zelf had doorgelezen was je al 2 namen daarvoor tegengekomen ;)
je kunt toch naar 4.0.1 (of nu dan 4.0.2) gaan?
Er staat in zijn reactie "in verband met de performance vn iOS 4 op de 3G", dat is juist de reden dat veel 3G gebruikers geen 4.0, 4.0.1 en 4.0.2 willen draaien, de performance is om te huilen.
Zijn ook genoeg mensen die goed draaien op ios4 met een 3G, vreemd!
Een kale 3G draait soepeltjes. Hoe meer data, hoe trager de boel wordt.

In de tussentijd kun je Spotlight uischakelen (Algemeen > Thuisknop > Spotlight zoekacties).

Ik zet WiFi en 3G enkel aan als ik het nodig heb. Voor iOS 4.0 duurde het aanzetten van WiFi een seconde of 5, nu zit ik al 5 seconden te wachten op het instellingenscherm.

Nu maar hopen dat 4.1 snel komt, ze zitten al bij beta 3, dus wie weet. Waarschijnlijk launch na het Apple event voor de nieuwe iPods medio augustus.
Heel vreemd ja, want zodra je 3.1.3 erop zet merk je absoluut een overduidelijk verschil in performance.

Als ik op mijn iPhone 3G een schone iOS 4.0.1 install zet zonder een backup terug te zetten en ik heb alsnog regelmatig zeer hinderlijke vertragingen, dan zit er toch echt iets niet goed in iOS 4. En "goed" wordt door iedereen anders geïnterpreteerd, wat voor mij traag en onbruikbaar is, is voor een ander mogelijk prima.

[Reactie gewijzigd door Frietsaus op 12 augustus 2010 11:49]

Ja maar dan ordt je iPhone 3G aanzienlijk trager (iOS 4 is gewoonweg zwaarder) en sommige gebruikers blijven liever op versie 3.x.x
Goed dat het eindelijk gedicht is. Schoonfamilie heeft ook een iPad en zag al dat ze veel pdfs bekeken (oa pdf reader vanuit de AppStore erop geinstalleerd). Als je dan ineens een evil pdfje tegen komt is dat natuurlijk zuur.

Btw de update was al sinds gisteravond beschikbaar en niet sinds vanochtend.

[Reactie gewijzigd door dbreuning op 12 augustus 2010 10:51]

Je bedoelt gedicht om het jailbreaken tegen te gaan.
Het was nodig omdat het een exploit was die gebruikt kon worden voor evil dingen. Dat daarmee direct ook het jailbreaken niet meer kan is mooi meegenomen voor Apple. Daarnaast is het hun goedrecht om dit tegen te gaan.
Als je de jailbreak had uitgevoerd was het lek ook meteen gedicht.
Het ging Apple niet om de kwaadaardige dingen.

Puur omdat ze inkomsten misliepen op het vlak van de alternatieve appstore...
De jailbreak ansich dichte het lek ook niet direct. De patch is later gekomen. Maar goed ik vertrouw liever op Apple met officiele security patches dan één of andere hobbyist.

Wat betreft de inkomsten: dat zou goed kunnen. Maar het een apparaat wat zij verkopen en zij hebben het recht het te beschermen. Daarnaast is het een security hole welke gedicht moest worden aangezien het een potentieel gevaar vormde.
Ik denk als dit PDF-lek niet voor jailbreaking gebruikt kon worden. Dat apple minder moeite had genomen om het te patchen.
Het lek is op zondag 1 augustus kenbaar gemaakt door jailbreakme.com het is nu 12 augustus. ik vindt dit een best snelle reactie. Apple moet wel alles goed testen dat doe je niet zomaar in 2 dagen. Er zijn bedrijven die een stuk trager reageren.
en daarbij, deze update heb ik gisteren al geinstalleerd op mijn iPhone, trek er dus nog maar een dag vanaf.
als apple goed had getest , dan had wellicht dit lek al veel eerder boven komen drijven, zonder hulp van Comex.
Omdat er een lek (welke blijkbaar ook in de Desktop tegenhangers zit, bijvoorbeeld van Adobe Reader en Foxit Reader) in de software zit is het meteen niet goed getest?

Sorry, maar van elk programma komen updates uit die problemen fixen (zie hier de meuktracker bijvoorbeeld, of de updates voor Windows, OSX, Linux) die zijn dus allemaal niet goed getest?

Volgens mij heb jij geen ene weet van de complexiteit van sommige stukken software.
en jij weet dat wel natuurlijk.

we hebben het hier over een lek die misbruikt wordt he, niet over een lek die ze zelf gevonden hebben

zo'n lek als dit is dan idd niet goed getest, anders had ie wel boven water gekomen.
wellicht niet bij het uitbrengen van de software, maar wel tijdens dat de software live is.
nu komt het op me over alsof Apple achterover leunt tot er een lek wordt gevonden door een derde partij, en gaan daarna tot actie over.
dit soort complexe en belangrijke software zou continu getest moeten worden, en het komt nu op me over alsof dat dus niet gebeurd.
we hebben het hier over een lek die misbruikt wordt he, niet over een lek die ze zelf gevonden hebben
En bij de meeste andere updates voor OS-sen gaat het om lekken die misbruikt (kunnen) worden?

Het is niet alsof je 'bij het openen van een PDF' meteen tegen dit lek aanloopt als je niet zelf vanalles probeert. Deze 'fout' hebben ze dus niet getest inderdaad, maar het is ook niet zo 'voor de hand liggend' dat je meteen denkt om dit te gaan testen wel?

Anders moet je maar even bij een groot bedrijf gaan soliciteren als jij dit 'voor de hang liggende lekken vind' ze staan dan te springen om mensen als jij.
ik niet, Comex mag er soliciteren :p
je moet me overigens geen woorden in de mond leggen, want ik zeg nergens dat het voor de hand ligt.

maar fijn dat je het met me eens bent dat ze dit dus niet getest hebben, zitten we in elk geval op dezelfde golflengte
Dat ze dit dus niet getest hebben is een 'open deur intrappen niet'? Immers elke bug in een stuk software is niet 'goed getest'. Anders zat die bug er niet meer in. Neem aan dat we daarmee ook op dezelfde golflengte zitten.

Maar dat er 'een bug is' die (dus blijkbaar niet getest is, doh) betekend niet dat het hele apparaat op de markt is gezet zonder te testen. Elk stuk software heeft bugs, maar elk stuk proffesionele software wordt wel getest, je kan alleen niet op elke mogelijke scenario testen want dan zou je je product nooit kunnen releasen en zaten we nu nog Windows 3.11 te testen.

[Reactie gewijzigd door ZpAz op 12 augustus 2010 13:28]

Hoe zit het met de iPod 1G? Daar is geen update voor uitgekomen maar die kan wel PDFjes lezen.

Nu nog ff tijd vinden om update op 3G en iPad te plaatsen... Hoop dat het met de 3G soepeler gaat dan de update naar iOS4 (draait overigens prima op mijn 3G na wat kleine tweaks)
Is een iPod 1G (welke versie van de iPod trouwens?) ook te jailbreaken dan?
De Touch natuurlijk, en ja die is te jailbreaken (3.1.3 is de laatste versie, 4.0 is niet te doen op een 1G ipod touch). Wellicht dat er een 3.2 of 3.1.4 voor komt... Hopen dat spirit dan nog wel blijft werken maar ik vrees van niet ...
Het is geen pdf-lek maar pdf-lekken want het waren er 20.
Het was eenzelfde lek in 20 verschillende versies van de iOS software :)
Het zou fijn zijn als Apple ook zon haast maakt met de 4.1 release, aangezien er miljoenen 3G bezitters kampen met vertragingsproblemen waar je U tegen zegt... :(
Ik ga er vanuit dat security exploits voor gaan. Maar de 4.1 update komt er denk ik wel snel aan. Aangezien er heel wat mensen nog zijn met een 3G welke langzaam is geworden.
De update was overigens woensdagavond al beschikbaar. Ik had gisteravond mijn iPad al geupdate naar 3.2.2.
update is 457MB voor de iPad. Zal best veel data verkeer genereren....
457MB is niet eens zo veel als je nagaat dat voor OS X de updates regelmatig nog grote zijn. En ja, het kan best druk zijn op de servers van Apple. Tijdens update-releases kan het downloaden dan ook met enige vertraging verlopen.
Hopelijk wordt 4.1 snel released ivm de traagheid op de iPhone 3G.
Wacht, Apple had toch beloofd om in deze update ook de G-sensor te fixen?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True