Patch uw Macs, mensen en uw Apple Watches en oudere iPhones, iPads en iPod Touches.
Apple heeft gisteren (26 september) een noodupdate voor Macs uitgebracht om een fout te verhelpen waardoor een "aanvaller op afstand… onverwachte beëindiging van het programma of het uitvoeren van willekeurige code" zou veroorzaken.
In gewoon Engels betekent dit dat een hacker vanaf internet toegang tot uw Mac kan krijgen en kwaadaardige code kan uitvoeren of legitieme toepassingen kan afsluiten. Onnodig te zeggen dat dat erg slecht is.
Er zijn gisteren ook patches uitgegeven voor watchOS (5.3.2) en iOS 12 (12.4.2) om dezelfde fout te verhelpen. Nieuwe iPhones, iPads en iPods kregen vorige week de oplossing met de release van iOS 13, maar veel oudere iOS-apparaten, zoals de iPhone 5s, 6 en 6 Plus, moeten het bij iOS 12 houden.
De Mac-patches zijn voor de laatste drie versies van macOS -- 10.14 Mojave, 10.13 High Sierra en 10.12 Sierra -- maar je krijgt geen nieuw versienummer voor je build. Oudere, niet-ondersteunde versies van macOS/OS X worden waarschijnlijk ook getroffen. (Als je er nog steeds een gebruikt, is het tijd om te updaten.)
Een mysterie ophelderen
Apple zegt niet veel meer over de fout, behalve dat het gaat om "een out-of-bounds read [die] werd aangepakt met verbeterde invoervalidatie", werd ontdekt door Google Project Zero-onderzoekers Samuel Groß en Natalie Silvanovich, en werd toegewezen aan het Common Vulnerability and Exposures (CVE) nummer CVE-2019-8641.
Maar het blijkt dat de kwetsbaarheid enkele maanden teruggaat en onopgelost bleef lang nadat een soortgelijke reeks fouten was verholpen.
Vanmorgen (27 september) verbond Paul Ducklin van Sophos de punten en ontdekte dat dit de laatste is van een aantal voornamelijk iOS-fouten die Groß en Silvanovich in de zomer onthulden, en de enige van die fouten die onverklaard en ongepatcht bleef voor bijna twee maanden.
U herinnert zich misschien dat er eind juli een aantal Apple Messages-fouten werden onthuld, die Apple grotendeels heeft verholpen met iOS 12.4. Sommige van de fouten zouden hackers iPhones hebben laten overnemen door simpelweg een speciaal ontworpen bericht te sturen.
Zoals de standaardprocedure is, legden de Project Zero-onderzoekers precies uit hoe de bugs werkten nadat Apple iOS 12.4 had uitgebracht. Maar ze hielden informatie over één fout achter omdat ze vonden dat iOS 12.4 het niet volledig oploste.
"We houden CVE-2019-8641 achter tot de deadline omdat de fix in het advies de kwetsbaarheid niet heeft opgelost", schreef Silvanovich op 29 juli op Twitter.
De mysterieuze fout bleef nog twee maanden onontdekt, zelfs toen Silvanovich en Groß hun onderzoek ondernamen en hun bevindingen presenteerden op de Black Hat-beveiligingsconferentie in augustus, en toen Apple iOS bijwerkte naar versie 12.4.1 en een "aanvullend" uitbracht. update naar macOS Mojave 10.14.6.
Eindelijk volledige openbaarmaking
Nu alles echt is opgelost, is de kat uit de zak. Silvanovich maakte op maandag (23 september), na de release van iOS 13, stilletjes de details van CVE-2019-8641 openbaar in een Project Zero-blogpost.
Haar uitleg van het beveiligingslek is onbegrijpelijk voor iedereen die niet goed thuis is in de interne werking van iOS, maar ze merkte op dat "dit probleem nog niet is opgelost voor Mac en iPad, maar nu alleen een lokale kwetsbaarheid is vanwege de wijziging in 12.4. .1."
Die lokale kwetsbaarheden zijn vermoedelijk nu verholpen met de iOS 12.4.2-update en de macOS-patches.
Afbeelding tegoed: blackzheep/Shutterstock