15 jaar oud lek ontdekt in kernel macOS
Een nieuwe kwetsbaarheid in macOS geeft aanvallers zonder verhoogde rechten de mogelijkheid het volledige systeem over te nemen. Het gaat om een kwetsbaarheid in IOHIDFamily, een kernelextensie voor human interface devices. De kwetsbaarheid is al zeker sinds 2002 aanwezig in macOS.
Informatie over de kwetsbaarheid en een exploit is door een gebruiker genaamd Siguza op oudejaarsavond gepubliceerd op GitHub. Op Hackers News geeft Siguza aan de kwetsbaarheid al in februari 2017 te hebben ontdekt. Vervolgens zou hij een exploit hebben uitgewerkt, die hij kort na de lancering van High Sierra had willen vrijgeven. Deze versie van macOS bleek echter enkele wijzigingen te bevatten die de werking van de exploit verstoorden, waardoor de exploit moest worden herschreven. Zo'n elf maanden na zijn ontdekking geeft Siguza de exploit dus alsnog vrij.
Zero Disclosure Initiative
Ook geeft Siguza aan de exploit te hebben aangemeld bij het Zero Day Initiative (ZDI) van Trend Micro. De hacker stelt echter eerder al de exploit en een uitgebreide tekst over de kwetsbaarheid te hebben geschreven, aangezien hij naar eigen zeggen meer van hacken houdt dan van geld. Het bedrag wat ZDI aanbood voor de kwetsbaarheid zou onvoldoende zijn geweest om hem te overtuigen de kwetsbaarheid niet openbaar te maken, iets wat Siguza op oudejaarsavond dus uiteindelijk heeft gedaan.
De hacker wijst erop dat om de exploit uit te voeren een aanvaller al de mogelijkheid moet hebben code uit te voeren op een systeem. Siguza stelt dat een aanvaller die deze rechten heeft weten te verkrijgen, zijn exploit niet nodig heeft om kernelrechten te verkrijgen. De hacker stelt dan ook dat het vrijgeven van zijn exploit voor reguliere gebruikers niets verandert.
Al langer bekend
Siguza meldt op Hacker News inmiddels contact te hebben gehad over de kwetsbaarheid. Een lid van het security team van Apple geeft volgens Siguza aan dat de kwetsbaarheid al langer bekend was. Ook zou Apple eerder een patch hebben vrijgegeven om het lek te dichten, maar deze patch verhielp de kwetsbaarheid in de praktijk niet.
Meer over
Lees ook
Global Conference on Cyberspace kost 15 miljoen euro
In Den Haag staat op 16 en 17 april de Global Conference on Cyberspace (GCCS) op de planning. De GCCS is een grote internationale conferentie over cybersecurity waar naar verwachting zo’n 1.200 tot 1.500 deelnemers op af komen. Naast een flink aantal ministers zullen ook topmensen van grote IT-bedrijven als Google op de conferentie aanwezig zijn.1
Nieuwe Amerikaanse overheidsdienst moet informatiedeling van cyberdreigingen optimaliseren
Een nieuwe overheidsdienst gaat zich in de Verenigde Staten specifiek richten op digitale dreigingen. De dienst wordt tussen andere overheidsdiensten waaronder inlichtingendiensten geplaatst en moet gaan zorgen dat informatie optimaal wordt gedeeld. Dit moet helpen cyberdreigingen eerder te identificeren. De nieuwe dienst heet het Cyber Threat Int1
‘Internet of Things zorgt in 2014 voor nieuwe mobiele toepassingen en grotere cybersecurity uitdagingen’
Bedrijven krijgen het komend jaar te maken met grotere uitdagingen op het gebied van cybersecurity, nu het gebruik van mobiele apparatuur en applicaties en het zakelijk gebruik van het Internet of Things sneller toenemen dan het vermogen van organisaties om hun bedrijfskritische data te beschermen. Dit voorspelt Unisys. “Omdat steeds meer producte1