Overslaan en naar de inhoud gaan

0-day in macOS geopenbaard door Google

Google onthult een beveiligingsgat dat security-onderzoekers van het bedrijf hebben ontdekt in macOS. De gatenjagers van Google's Project Zero hebben deze kwetsbaarheid eerst gemeld bij Apple en daarbij een deadline gesteld voor het fixen hiervan. Die termijn is nu verstreken waardoor Project Zero nu de privilege escalation bug openbaart, compleet met werkende exploitcode.
MacBook Pro, Mojave
© Apple
Apple

Google spoort met zijn Project Zero-team kwetsbaarheden op in veelgebruikte software, om die te melden bij de ontwikkelaars ervan zodat die hun producten veiliger kunnen maken. Daarbij hanteren de security-onderzoekers een strikte deadline van 90 dagen voor openbaarmaking. Na verloop van die termijn, of zodra er een patch is, wordt informatie over deze 0-day kwetsbaarheden onthuld aan het grote publiek.

Responsible disclosure-discussie

Dit dient enerzijds om softwareleveranciers onder druk te zetten voor het fixen van hun code, en anderzijds om beheerders plus gebruikers te informeren zodat er eventuele tegenmaatregelen zijn te nemen. De redenatie is dat cybercriminelen ook dergelijke kwetbaarheden kunnen ontdekken, en dan stil houden om zelf te kunnen benutten. Over dit strikte bugbeleid van Google is eerder al ophef geweest, inclusief aanvaringen met onder meer Microsoft.

Ditmaal is Apple 'aan de beurt': in de kernel van zijn computerbesturingssysteem macOS is een kwetsbaarheid ontdekt die kwaadwillenden meer rechten kunnen geven op een Mac. Daarvoor moet zo'n aanvaller wel eerst lokale rechten hebben op een Apple-computer, wat de ernst van deze kwetsbaarheid inperkt. Gecombineerd met een remote-misbruikbare kwetsbaarheid in bijvoorbeeld een applicatie valt er echter wel op afstand te hacken. Google heeft zijn bekendmaking van de kernelbug compleet met proof-of-concept code gedaan.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in