15 jaar oud lek ontdekt in kernel macOS
Een nieuwe kwetsbaarheid in macOS geeft aanvallers zonder verhoogde rechten de mogelijkheid het volledige systeem over te nemen. Het gaat om een kwetsbaarheid in IOHIDFamily, een kernelextensie voor human interface devices. De kwetsbaarheid is al zeker sinds 2002 aanwezig in macOS.
Informatie over de kwetsbaarheid en een exploit is door een gebruiker genaamd Siguza op oudejaarsavond gepubliceerd op GitHub. Op Hackers News geeft Siguza aan de kwetsbaarheid al in februari 2017 te hebben ontdekt. Vervolgens zou hij een exploit hebben uitgewerkt, die hij kort na de lancering van High Sierra had willen vrijgeven. Deze versie van macOS bleek echter enkele wijzigingen te bevatten die de werking van de exploit verstoorden, waardoor de exploit moest worden herschreven. Zo'n elf maanden na zijn ontdekking geeft Siguza de exploit dus alsnog vrij.
Zero Disclosure Initiative
Ook geeft Siguza aan de exploit te hebben aangemeld bij het Zero Day Initiative (ZDI) van Trend Micro. De hacker stelt echter eerder al de exploit en een uitgebreide tekst over de kwetsbaarheid te hebben geschreven, aangezien hij naar eigen zeggen meer van hacken houdt dan van geld. Het bedrag wat ZDI aanbood voor de kwetsbaarheid zou onvoldoende zijn geweest om hem te overtuigen de kwetsbaarheid niet openbaar te maken, iets wat Siguza op oudejaarsavond dus uiteindelijk heeft gedaan.
De hacker wijst erop dat om de exploit uit te voeren een aanvaller al de mogelijkheid moet hebben code uit te voeren op een systeem. Siguza stelt dat een aanvaller die deze rechten heeft weten te verkrijgen, zijn exploit niet nodig heeft om kernelrechten te verkrijgen. De hacker stelt dan ook dat het vrijgeven van zijn exploit voor reguliere gebruikers niets verandert.
Al langer bekend
Siguza meldt op Hacker News inmiddels contact te hebben gehad over de kwetsbaarheid. Een lid van het security team van Apple geeft volgens Siguza aan dat de kwetsbaarheid al langer bekend was. Ook zou Apple eerder een patch hebben vrijgegeven om het lek te dichten, maar deze patch verhielp de kwetsbaarheid in de praktijk niet.
Meer over
Lees ook
De digital decade: wat betekent dit voor de EU, de infrastructuur en de digitale diensten van morgen?
Het Belgisch voorzitterschap van de Raad van de Europese Unie prioriteert de digitale transitie in 2024. Wat kunnen we verwachten van de toekomst? Hoe zal technologie ten dienste staan van burgers en organisaties?
"Bedrijven investeren jaarlijks ruim 92.000 euro voor bijscholing cybersecurityteams"
In het recente onderzoek 'Het portret van de moderne informatiesecurityprofessional' deed Kaspersky onderzoek naar het wereldwijde tekort aan cybersecuritypersoneel. Zo onderzocht het de exacte redenen waarom bedrijven te weinig cybersecuritydeskundigen hebben.
Proofpoint gaat dataverlies via email tegen met kracht van AI op basis van gedrag
Proofpoint Inc., kondigt de algemene beschikbaarheid aan van Adaptive E-mail Data Loss Prevention (DLP), voor het automatisch detecteren en voorkomen van onbedoeld en opzettelijk dataverlies via email – voordat het een kostbare fout wordt voor organisaties.