Apple heeft een belangrijke veiligheids-update uitgebracht voor alle gebruikers van OS X 10.10/Yosemite, 10.9/Mavericks en 10.8/Mountain Lion. Deze update repareert een aantal bugs in het OS X Network Time Protocol (ntpd). Door die bugs zouden hackers gebruik kunnen maken van buffer overflows, waarna ze willekeurig welke code op een Mac zouden kunnen laten draaien.

Apple raadt aan om zo snel mogelijk deze update naar binnen te halen via de Mac App Store/Software Update. Zie je deze update daar nog niet verschijnen, dan kan je die ook ophalen via de links hieronder:

• OS X NTP Security Update:OS X Yosemite
  
• OS X NTP Security Update:OS X Mavericks
  
• OS X NTP Security Update:OS X Mountain Lion
  
  Heb je deze update geïnstalleerd, en wil je zeker zijn dat jij de juiste versie van ntpd op jouw Mac hebt staan, plak dan de volgende tekst in het programma Terminal op jouw Mac:
  
  Citaat

  
  
  what /usr/sbin/ntpd
  
  

  
  De versienummers die je dan zou moeten zien zijn de volgende:
  
  Citaat

  
  
  Mountain Lion: ntp-77.1.1
  Mavericks: ntp-88.1.1
  Yosemite: ntp-92.5.1
  
  

  
  
  
  met dank aan forumlid 'anemie', die dit nieuws ook op ons forum meldde
  
  
  
  
  

Bij mij ging de update "vanzelf", wel een melding van de update via Notifications, maar niet zichtbaar in App Store updates.

Dat is het mooie van Yosemite. Dit is een z.g. Push update. Gaat in de achtergrond zonder toestemming van de gebruiker. Schijnt de eerste keer te zijn dat Apple dat doet.

Ook onder Mountain Lion gaat dit geheel in de achtergrond en wordt het geïnstalleerd bij de eerstvolgende reboot.

Geen reboot nodig hier, mijn systeem (OS X 10.8) draait al weken en heeft de juiste versie.

Klopt, ik maakte dat er ook maar zelf van. Zjuist kwam een notificatie voorbij die aangaf dat deze update geïnstalleerd is.

Dit was voor sommigen wellicht wél de eerste echte - en niet manueel geautoriseerde "push" update:
http://www.reuters.com/article/2014/12/23/us-apple-cybersecurity-idUSKBN0K108W20141223

Je vraagt je onwillekeurig wel af wat je allemaal met zo'n push-update zou kunnen uithalen. Hoe veilig is dit. Moeten we ons tzt tegen fake push-updates gaan beschermen of is het schier onmogelijk om nep updates door te voeren?

Nep updates zijn niet mogelijk.
Elke apple update heeft een 2048 bit certificaat.
Als er iets aangepast word aan de update word hij geweigerd door het systeem.
Voor een idee te geven hoe lang het zou duren voor dit te kraken:
https://www.digicert.com/TimeTravel/

Voor 10.6 en 10.7 gebruikers is het misschien handig voor NTP uit te zetten in de systeem voorkeuren.
Bij datum en tijd in systeemvoorkeuren 'Set date and time automatically' uitzetten.
Dat stopt het NTP programma op de server.
Volgens mij is het probleem dan opgelost.

@jef, bedankt voor deze toelichting. Sinds het DigiNotar schandaal is duidelijk dat je een certificaat niet hoeft te kraken.

Ik zou die discussie laten voor wat het is, devman, want kan je nu al vertellen dat je toch argumenten zal vinden waarom het misschien, eventueel, niet 100% betrouwbaar zou kunnen zijn. Zet die optie uit, en je bent ervan af. Dan is lig voor jou de vraag niet meer relevant.

Het vreemde is dat op mijn Macbook (Unibody late 2008) ik zelf kon beslissen om de update te installeren en daar is deze ook zichtbaar onder de updates en op mijn Mac Mini late 2012 ging het automatisch en is ook niet zichtbaar onder de updates. Op beide Mac's draai ik Yosemite.
Kan iemand dit verklaren?

Uitstekende vraag. Vermoedelijk omdat je late 2008 niet Airdrop capable is, en/ of geen 2048 bits RSA identity hash kan verwerken en je late 2012 wél?
Dit blijft te onderzoeken, maar brengt me toch op het spoor van sommige hardnekkige WiFiproblemen onder Yosemite, die soms gerelateerd lijken aan Airdrop/ AWLD/ Continuity/ Instant Hotspot onder Yosemite.
Ik kan er hier volledig naastzitten, maar toch: opinies, iemand?
Niet dringend hoor, toast rustig eerst op kerst...