Nul
Een Google-Project Zero onderzoeker publiceerde een macOS benutten om aan te tonen dat Apple bloot haar gebruikers om de veiligheidsrisico ‘ s door het patchen van ernstige gebreken in iOS, maar niet het onthullen van het feit tot het lost dezelfde bugs in mac os een week later.
Dit gebeurde tijdens het Apple de update voor kritische fouten in iOS 12, tvOS 12 en Safari 12 op 17 September.
Een Wayback Machine momentopname van de oorspronkelijke advies vermeldt geen van de fouten die door Project Zero onderzoeker Ivan Fratric had gemeld aan Apple, en die waren eigenlijk opgelost.
Dan, een week later, nadat Apple gepatcht dezelfde bugs in mac os, het bedrijf bijgewerkt zijn oorspronkelijke advies met details over de negen fouten die Fratric hadden gemeld, waarvan zes beïnvloed Safari.
De update vast een Safari bug is dat toegestaan het uitvoeren van willekeurige code op macOS als een kwetsbare versie van Safari bekeken op een website hosten van een exploit voor de bugs.
ZIE: 10 Terminal commando ‘ s om de snelheid van uw werk op de Mac (gratis PDF)
Terwijl Fratric geeft toe dat Apple is waarschijnlijk het verbergen van de fix in iOS te kopen tijd om de patch macOS, betoogt hij het eindresultaat is dat mensen het kunnen negeren van een belangrijke beveiligingsupdate want ze waren niet goed op de hoogte door Apple in de security advisory.
“Deze praktijk is misleidend omdat de klanten die geïnteresseerd zijn in de Apple beveiligingsadviezen zou waarschijnlijk lezen ze alleen een keer, toen ze voor het eerst uitgebracht en de indruk die ze zou krijgen is dat het product updates fix veel minder kwetsbaarheden en minder ernstige kwetsbaarheden dan feitelijk het geval is.”
Zelfs nog erger, een ervaren aanvaller kon gebruik maken van de update voor iOS te reverse-engineeren een patch, het ontwikkelen van een exploit voor macOS, en vervolgens te implementeren tegen een macOS gebruikers-base dat het niet hebben van een patch.
Gebruikers weten ook niet dat Apple heeft vrijgegeven informatie die zouden kunnen maken van hun systemen kwetsbaar zijn voor aanvallen.
Fratric ontwikkelde een exploit voor een van de Safari hij bugs gerapporteerd en gepubliceerd op de aanval op donderdag. De bugs werden alle gevonden met behulp van een voor het publiek beschikbare fuzzing hij tool ontwikkeld, de zogenaamde Domato, wat betekent dat iedereen, met inbegrip van zeer geavanceerde aanvallers, kon het ook gebruiken.
“Als een openbare tool in staat was te merken dat veel bugs, wordt verwacht dat de particuliere sector kan nog meer succesvol te zijn,” merkte hij op.
Hij was niet gericht op het schrijven van een betrouwbare en geavanceerde exploiteren, maar de bug is nuttig genoeg is voor een ervaren exploiteren schrijver aan het ontwikkelen van een aanval om malware te verspreiden en ‘potentieel een hoop schade aanrichten, zelfs met een onbetrouwbare exploiteren”.
Fratric zei hij met succes getest de exploit op Mac OS 10.13.6 High Sierra, build versie 17G65. “Als u nog gebruik maakt van deze versie, wilt u misschien om te updaten,” merkte Fratric.
ZIE: Cybersecurity in een IoT en mobiele wereld (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Op de kop, het lijkt Apple en de Safari WebKit team hebben een verbetering van de beveiliging van de browser vergeleken met de resultaten van Fratric de Domato fuzzing inspanningen van vorig jaar, maar die bleek meer bugs in Safari dan in Chrome, Internet Explorer, en de Rand. Vorig jaar vond hij 17 Safari gebreken met behulp van de fuzzing tool.
Ondanks deze verbetering, de nieuw gevonden fouten geven aan dat Apple blijft de invoering van beveiligingsfouten in de WebKit-code base, en dat ze zijn opgenomen in de release-producten voordat ze worden gevangen door middel van een interne security testing.
Deze interne tests falen suggereert dat Apple moet meer rekenkracht achter fuzzing voor het vrijgeven van de producten, volgens Fratric.
Zijn laatste woord van waarschuwing is geen korting te geven op een van de bugs vond hij alleen maar omdat niemand hen gezien te worden aangevallen in het wild.
“Hoewel het gemakkelijk weg te poetsen dergelijke bugs als iets wat we nog niet gezien werkelijke aanvallers gebruiken, dat betekent niet dat het niet gebeurt, of dat het niet kon gebeuren,” de onderzoeker genoteerd.
Vorige en aanverwante dekking
Apple iOS-12 beveiligingsupdate pakt Safari spoofing, het lekken van gegevens, kernel geheugen gebreken
De iPad-en iPhone-maker ‘ s iOS-12 lancering wordt begeleid door een keur van beveiligingsupdates voor verscheidene producten.
Windows 10-beveiliging: Google Project Zero flarden van Microsoft ‘ s unieke Rand van de verdediging
Google Project Zero zegt Microsoft ‘ s Willekeurige Code Guard in de Rand mislukt waar Chrome site isolatie slaagt.
Apple verbetert beveiliging in macOS Mojave
macOS Mojave is de nieuwste versie van het besturingssysteem van de Mac, vandaag onthuld tijdens Apple ‘ s WWDC conferentie.
Google Project Zero: ‘Hier is het geheim te markeren up bugs voordat hackers vinden’
Google ‘ s Project Zero heeft problemen met Samsung en HackerOne de security bug reporting processen.
Google ‘ s Project Zero bloot ongepatchte Windows-10 de vergrendeling van de bypass
Google ontkent meerdere verzoeken van Microsoft voor een uitbreiding van Project Zero ‘ s 90 dagen-bekendmaken-of-fix termijn.
Chinese spion chips: 3 potentiële fallouts voor de zakelijke wereld TechRepublic
Een Bloomberg-rapport bleek dat de Chinese spionnen in het geheim toegevoegd microchips op moederborden die ging naar Apple, Amazon, en de CIA.
Apple, Amazon ontkennen rapport dat de Chinese spion chips geïnfiltreerd hun hardware CNET
De tech reuzen geschil de suggestie van een massa-toezicht campagne.
Verwante Onderwerpen:
Apple
Beveiliging TV
Data Management
CXO
Datacenters
0