Twee dagen geleden bracht Apple een security-update uit voor zowel iOS 7 als iOS 6, want die bleken beiden een veiligheidsprobleem te hebben (dat geldt trouwens niet voor iOS 5). Daar hadden we toen ook al dit nieuwsbericht over hier op MacFreak.

De bug waar het om ging is een fout in de code waardoor iemand je naar een nep-website zou kunnen leiden, terwijl jij denkt dat je keurig op een beveiligde site zit, compleet met https in de adresbalk en een slotje in je browser. Deze zogenaamde man-in-the-middle-attacks kunnen natuurlijk alleen maar ontstaan op een netwerk waar ook inderdaad er iemand tussen kan zitten, bijvoorbeeld bij draadloze open netwerken. Denk aan netwerken in openbare ruimtes.

Inmiddels is gebleken dat dezelfde bug ook OS X aanwezig is en Apple heeft dan ook al laten weten dat ze binnenkort ook voor onze Macs met een update zullen komen.

Moeten we ons in de tussentijd zorgen maken? Als je vooral thuis op het internet zit niet, als je veel van openbare netwerken gebruik maakt lijkt het verstandiger om daar op zijn minst je verstand te gebruiken, en bijvoorbeeld geen wachtwoorden van je bank over zo'n verbinding te sturen.

Mocht je persé in de tussentijd al beschermd willen zijn dan kan je hier en de tussentijd een zogenaamde 'patch' naar binnen halen. Maar let, de ontwikkelaars zelf waarschuwen dat ze geen verdere verantwoordelijkheid nemen voor dit stukje werk:

Please understand that we will not provide further help with applying the patch below. We strongly consider this patch experimental and you should only apply it to your systems if you understand the risk.

Wij zouden gewoon even wachten tot Apple met een update komt, maar die keuze is natuurlijk eentje die ieder voor zichzelf moet maken.

En als je via een vpn verbinding op een openbaar internet op gaat dan, is er dan ook kans op de man in the middle?

Hallo Redactie

... om daar op zijn minst je vestend te gebruiken...

"Vestend" moet "verstand" zijn, neem ik aan?

groetjes

Mathy

@pth: Hangt van de vpn-configuratie af. Je kunt een VPN instellen zodat al het verkeer via de vpn gaat, of alleen een bepaalde range (van je bedrijf bijvoorbeeld). In dat eerste geval gaat het werken, mits je VPN-software natuurlijk geen gebruik maakt van de OS X ssl-libraries.

Los van de VPN: Het risico bestaat alleen als je naar https-sites gaat op basis van ip-adres. Vrijwel alle normale sites gebruiken domeinnamen, dan werken de controles wel.

Een succesvolle mitm-aanval zal dan ook moeten werken door links naar een ip-adres (bijv: https://83.98.164.11 ). Dat hoeft niet in de adresbalk, maar kunnen ook links binnen een pagina zijn.

Nee hoor Jaco, werkt ook met domeinnaam om het te exploiten.

Open de volgende link maar in Safari. Is een test pagina van 1 van de vinders van de bug

https://www.imperialviolet.org:1266

In Chrome en Firefox werkt het niet, die gaan kennelijk wel goed/anders met SSL om

Tsja, het schijnt dat er alleen 2 regeltjes code vergeten zijn....

Bij de zuiderburen is die link naar de imperialviolet testpagina al getest met Safari op Mt Lion en Snow Leopard. Gaat niet open, dus beide lijken veilig op dat gebied. Mogelijk is dit veiligheidsgat dus enkel eigen aan Mavericks (wat OSX betreft).
http://www.intermactivity.be/forum/showthread.php?123270-iOS-7-0-6-voorzichtigheid-porseleinkast-updaten-!&p=999752&posted=1#post999752

10.9.2 is er

ik kan geen info geven omdat de Apple site zegt :

" We're sorry.

We can't find the article you're looking for.

Please return to the Apple Support homepage."

het lijkt erop dat de bovenstaande bug er niet mee aangepakt wordt

nu wel info :

About the OS X Mavericks v10.9.2 Update
Learn about the OS X Mavericks v10.9.2 Update

The OS X Mavericks v10.9.2 Update is recommended for all OS X Mavericks users.

Updating your system
You should back up your system before installation. To do this you can use Time Machine.
Do not interrupt the installation process once you have started to update your system.
You may experience unexpected results if you have third-party system software modi

About the update
The OS X Mavericks v10.9.2 Update is recommended for all OS X Mavericks users. It improves the stability, compatibility, and security of your Mac. This update:

Adds the ability to make and receive FaceTime audio calls
Adds call waiting support for FaceTime audio and video calls
Adds the ability to block incoming iMessages from individual senders
Includes general improvements to the stability and compatibility of Mail
Improves the accuracy of unread counts in Mail
Resolves an issue that prevented Mail from receiving new messages from certain providers
Improves AutoFill compatibility in Safari
Fixes an issue that may cause audio distortion on certain Macs
Improves reliability when connecting to a file server using SMB2
Fixes an issue that may cause VPN connections to disconnect
Improves VoiceOver navigation in Mail and Finder
Improves VoiceOver reliability when navigating websites
Improves compatibility with Gmail Archive mailboxes
Includes improvements to Gmail labels
Improves Safari browsing and Software Update installation when using an authenticated web proxy
Fixes an issue that could cause the Mac App Store to offer updates for apps that are already up to date
Improves the reliability of diskless NetBoot service in OS X Server
Fixes braille driver support for specific HandyTech displays
Resolves an issue when using Safe Boot with some systems
Improves ExpressCard compatibility for some MacBook Pro 2010 models
Resolves an issue which prevented printing to printers shared by Windows XP
Resolves an issue with Keychain that could cause repeated prompts to unlock the Local Items keychain
Fixes an issue that could prevent certain preference panes from opening in System Preferences
Fixes an issue that may prevent migration from completing while in Setup Assistant
For detailed information about the security content of this update, see Apple security updates.

Zojuist update geïnstalleerd, geen bijzonderheden. Na downloaden melding dat installeren 7 minuten zou duren. Nog best veel voor het oplossen van alleen de bug. Zo zie je maar er waren nog meer verbeteringen mogelijk.

na de update van mavericks naar 9.2 gaat die pagina bij mij in ieder geval niet meer open. (heb hem niet voor de update getest trouwens)