SSL-bug in OS X 10.9 groter dan gedacht

Door: Raymon Mens - 18 reacties

Afgelopen vrijdag gaf Apple een kleine update voor iOS vrij. Het ging om een oplossing voor een bug die ervoor zorgde dat beveiligde (SSL) verbindingen in Safari niet goed gecontroleerd werden. Hierdoor leek de verbinding versleuteld, maar kon deze nog steeds afgetapt worden door een man-in-the-middle attack uit te voeren.

Safari in OS X 10.9 blijkt een soortgelijke kwetsbaarheid te hebben. Apple liet zaterdag aan Reuters weten een update voor de laatste versie van OS X af te hebben. Op zondag ontdekte beveiligingsonderzoekers dat de bugs op meer plaatsen in OS X 10.9 aanwezig zijn.

Naast Safari, zijn de volgende OS X-apps getroffen door de SSL-bug:

  • Agenda
  • FaceTime
  • Keynote
  • Mail
  • Twitter
  • iBooks
  • Software Update
  • iMessage

Opvallend is dat de kwetsbaarheden zowel in iOS 6 als iOS 7 aanwezig waren, maar OS X 10.8, 10.7 en 10.6 vrij zijn van de bug. Mogelijk is in OS X 10.9 een nieuwe SSL-methode geïntroduceerd die de kwetsbaarheden bevat. Een uitgebreide technische uitleg is hier te vinden.

De bug is alleen te misbruiken door een zogenaamde man-in-the-middle attack. Hierbij wordt de communicatie tussen een computer en het internet onderschept door een andere computer. Dit soort aanvallen zijn gemakkelijk uit te voeren op bijvoorbeeld onbeveiligde WiFi-netwerken. Tot een update voor de kwetsbaarheden in OS X 10.9 beschikbaar is, adviseren wij je Mac niet op open of onbekende netwerken te gebruiken.

Reacties

18 reacties
  • Profielfoto
    sunapple

    “Ach, hoe groot is nou die kans.”

  • Profielfoto
    Bento

    Tot een update voor OS X 10.9 beschikbaar is, adviseren wij je Mac niet op open of onbekende netwerken te gebruiken.

    Daarna kan het weer?

  • Profielfoto
    Maxx1987

    @ Bento

    Op openbare WiFi netwerken moet je altijd voorzichtig zijn, vooral als je een Mac gebruikt. Er valt altijd informatie te onderscheppen door andere computers. Bankzaken kan je tegenwoordig beter via je iPhone of iPad doen dan via Safari op je Mac. De apps op de iPhone en iPad zijn sowieso gesandboxed en maken vaak gebruik van een versleutelde verbinding waardoor informatie niet zomaar onderschept kan worden. Als je iPhone of iPad gejailbreaked is dan is dat natuurlijk een ander verhaal en ligt het eraan hoe je je apparaat dan hebt ingesteld:)

  • Profielfoto
    Buzz

    @Bento: Het is natuurlijk een stuk onveiliger om open netwerken te gebruiken, zolang er een bug in je besturingssysteem zit waarvan iedereen op Internet kan lezen hoe die in elkaar steekt en te misbruiken is. Je hebt niet veel kennis nodig om deze bug nu te misbruiken. Als deze bug gerepareerd is na een update, dan zullen kwaadwillenden weer zelf op zoek moeten naar nog niet algemeen bekende kwetsbare plekken in de software. Daar is heel wat meer moeite en specialistische kennis voor nodig. De kans op misbruik wordt dan weer een stuk kleiner.

    @Maxx1987: Deze bug gaat om versleuteld internetverkeer en heeft dus weinig met sandboxing te maken. Vorige week was je dus op je iOS apparaat net zo kwetsbaar als nu nog op je Mac. Bovendien draaien veel applicaties op de Mac, waaronder Safari en de meeste andere ingebouwde OS X apps, ook al lang sandboxed.

  • Profielfoto
    Logan Legend

    als ik het goed heb begrepen is os x 10.9 met die bug maar 10.6 en 10.7 en 10.8 weer niet?

  • Profielfoto
    koen

    Altijd haakjes gebruiken bij een if-statement.:nerd:

    (waarom doet de smiley het niet?)

  • Profielfoto
    essiw

    @Intelpowerxeon-itanium, ja, dat staat (letterlijk) in het artikel;)

  • Profielfoto
    Domtoren

    Op wifi netwerken die ik niet vertrouw maak ik eerst een VPN verbinding naar kantoor. Dan zit er een extra laag versleuteling tussen.

  • Profielfoto
    MoNdO GeNeRaToR

    10.9.2 is dus onderweg.

  • Profielfoto
    Appletosh

    @koen de smiley doet het niet omdat er geen spatie tussen statement en de smiley zit:wink:

  • Profielfoto
    koen

    @Appletosh: ik heb er een spatie tussen gezet, maar het werkt nog steeds niet.

  • Profielfoto
    DBLCreations

    :nerd: eens testen… (inderdaad hij doet het niet) wat gek:p

    Internet, veiligheid, privacy, 3 kernwoorden die in ieder geval niet samen passen:-) maar als je al probeert om versleuteling te verkrijgen is het toch al dat net ietsje meer veilig. Maar als iemand echt iets wilt onderscheppen en hij kan daar goed mee overweg lukt hem dat sowieso veronderstel ik?

  • Profielfoto
    iep

    Tot een update voor de kwetsbaarheden in OS X 10.9 beschikbaar is, adviseren wij je Mac niet op open of onbekende netwerken te gebruiken.

    En dat is verkeerd advies. Het juiste advies is: wij adviseren je Mac niet op een open of onbekend netwerk te gebruiken. Punt. Op dit soort netwerken ben je ten alle tijden kwetsbaar ook al is deze specifieke kwetsbaarheid opgelost.

  • Profielfoto
    Buzz

    Onzin Iep. Het verschil in niveau van beveiliging is wel degelijk heel groot. Je kan best met je Mac op het station of in de trein of in de bibliotheek het Internet op. Het zou zoiets zijn als adviseren om niet de straat over te steken tegenover adviseren om niet de straat over te steken als je weet dat het stoplicht het niet goed doet. Kwetsbaar ben je altijd, maar je moet het gevaar niet overdrijven.

  • Profielfoto
    LordChaos

    Ik blijf erbij, Apple blijft een raar bedrijf als het gaat om het patchen van potentieel zeer grote security bugs. Het duurt allemaal veel te lang, er wordt niets of nauwelijks gecommuniceerd. Ik vraag me regelmatig af wat hier nou de oorzaak van is.
    Is het arrogantie of staat security niet hoog in het vaandel in Cupertino?

    Hoe erg is het? Nou, zo erg

  • Profielfoto
    seek

    Veel beter om een code block altijd tussen { } te zetten.

  • Profielfoto
    fenkikon

    Wacht dan nog maar even met updaten vanaf Mountain Lion. Zitten er verder nog veel bugs in Mavericks, behalve de problemen met Mailbox?

  • Profielfoto
    donut

    Lord Chaos:
    …Hoe erg is het? Nou, zo erg…

    Nou inderdaad dit is een major security bug; OSX9 is gewoon een vergiet.
    Apple moet zich diep schamen- 100miljard op de bank, de beste mensen in dienst en dan zulke fouten maken.
    en vanaf 22 feb nog geen update! terwijl iedereen het nu weet.
    @fenkikon
    ja probeer listview in de finder eens… grote leegte naast de kolom met namen…
    (oplossing; veel kolommen activeren en breed maken totdat het er weer goed uitziet en dit bewaren; echter dit moet je voor elk venster opnieuw doen!)