Apple heeft voor iedereen met OS X 10.9/Mavericks een update voor Safari klaarstaan met 7.0.3 als versienummer. Het gaat vooral om het verhelpen van een aantal bugs, maar de veiligheid van de browser wordt ook meteen verbeterd. Dat laatste zorgt natuurlijk meteen voor de vraag of er ook een update aan zit te komen voor oudere versies van OS X, op dit moment is daar nog niets over bekend.

De informatie die Apple bij deze update levert is de volgende:

The Safari 7.0.3 update is recommended for all OS X Mavericks users and contains improvements to compatibility, stability, and security.

What's New In This Version:

• Fixes an issue that could cause the search and address field to load a webpage or send a search term before the return key is pressed.
  
• Improves credit card autofill compatibility with websites
  
• Fixes an issue that could block receipt of push notifications from websites
  
• Adds a preference to turn off push notification prompts from websites
  
• Adds support for webpages with generic top-level domains
  
• Strengthens Safari sandboxing
  
• Fixes security issues, including several identified in recent security competitions
  
  For detailed information on the security content of this update, please visit: http://support.apple.com/kb/HT1222.
  
  

Deze update is naar binnen te halen via de Mac App Store/Software Update, maar als je in een beheerders-account werkt heeft je Mac misschien zelf al laten weten dat deze update voor je klaarstaat.

Dank voor de link. Mijn software-update (10.8) laat al een tijd geen updates voor Safari meer zien.

@ TGV: werk je wel in een account met beheerders-rechten? Als dat niet zo is laten recente versie van OS X (volgens mij vanaf 10.7 of 10.8) veel minder vaak de updates die klaarstaan zien.

Versie 6.1.3 staat klaar voor Mountain Lion gebruikers
De omschrijving is precies hetzelfde als in het bericht. De update is 52,9MB groot

@Robert: nee, ik gebruik standaard een non-admin-account. Ik zie wel allerlei andere updates, inclusief die voor 10.9, maar Safari niet. Ik heb een bug-report ingediend (al zal er wel niks mee gedaan worden).

Even wat kanttekeningen bij deze update van Safari voor 10.8

- Direct na installeren kreeg ik al een melding over de sleutelhanger. 'Er kon geen sleutelhanger worden gevonden om "Safari" in op te slaan' (?!). Keuzemogelijkheden: Annuleren of standaardwaarden herstellen.
Annuleren gaf geen verschil direct daarna kwam de melding weer. De andere optie aangeklikt maar daar was de melding dat ik dan alle in de sleutelhanger opgeslagen wachtwoorden kwijt zou raken. Dat snel geannuleerd. Safari maar herstart. Daarna dit probleem niet meer gezien.

- Bij het verzenden van mail kwam een foutmelding dat het certificaat van de mailserver niet geldig is. Opgegeven hostnaaam en werkelijke hostnaam kwamen niet overeen. Nu gaat het hier om kpnmail die ik altijd zonder enige beveiliging verstuur. Account nagekeken en daar bleek SSL plots aan te staan. Alleen het veranderen van de poort naar de keuzemogelijkheid waarbij je zelf het poortnummer kunt aangeven (op 25 zetten) mogelijk zodat je SSL kunt uitzetten. Daarna werkte het weer.

Ik ben er vrij zeker van dat beide problemen door deze update zijn veroorzaakt omdat het eerste direct na de update optrad. Daarna ben ik weggeweest en is er niets met de computer gebeurd. Bij tgerugkomst kwam daar bij het eerste mailtje dat ik wilde versturen het gemelde probleem. Beide zijn nu opgelost, maar men moet hier dus wel even rekening mee houden.

@fammix: Het verbaast me dat KPN anno 2014 geen SSL op zijn mailserver ondersteunt. Waar moet het naartoe met die club?

@Pieterr. Dat zeg ik niet. Ik weet niet of KPN geen SSL ondersteunt. Mijn constatering betreft SSL op de eerste optie van door Apple aangegeven poorten (25, 465, 587).

Deze combinatie van instellingen geeft b.v. ook regelmatig problemen bij Ziggo. De oplossing is dan om de tweede optie te kiezen en daar het gewenste poortnummer in te vullen samen met een vinkje bij SSL.

Zelf werk ik al heel wat jaartjes zonder SSL via poort 25 en die instelling was na de update veranderd in de eerste poort optie mét SSL. Later op de dag heb ik nog een keer dit probleem gehad. Toen was het door mij handmatig ingevoerde poortnummer 25 veranderd in 587. Dat heeft dus helemaal niets met KPN te maken  

Nog even nagekeken: KPN ondersteunt SSL en IMAP. Beide gebruik ik niet, ook dat wordt nog ondersteunt  

Er wordt beweerd dat er geen virussen zijn voor OSX, maar als ik dit lees over de Safari-update en wat er allemaal mis kan gaan als je de update niet uitvoert geloof ik daar niet meer in:

https://www.waarschuwingsdienst.nl/ID/WD-2014-003

@ roel22: Apple verbetert de beveiliging van Safari en je legt dat negatief uit? En dat leidt jou tot de claim dat er 'dus' virussen zouden zijn voor OS X?

Ik zie de voorbeelden daarvan graag tegemoet...

Beste Robert, lees even de link over wat er zou kunnen gebeuren als je de update niet uitvoert. Misschien gaat het om "beveiligingslekken" ipv virussen, maar het effect is hetzelfde. Mijn Windows-vrienden komen niet meer bij als ik nu beweer dat OSX veilig is.

Gevoelig onderwerp?  

@roel22: Iedere webbrowser bevat veiligheidsgaten. In iedere software-update van je browser worden er gaten gedicht. Dat is voor deze update niet anders dan voor andere keren. Daarom is het altijd aan te raden om de update te installeren omdat vrijwel alle malware tegenwoordig via je browser op je systeem probeert te komen.

Zie ook de links in de reacties in dit bericht: http://www.macfreak.nl/nieuws/25737/hackers-zijn-positief-over-os-x/

roel22 om 13:26, 03-04-2014
Beste Robert, lees even de link over wat er zou kunnen gebeuren als je de update niet uitvoert.

Vreemd dat je ervan uitgaat dat ik die link niet gelezen heb. Bizarre conclusie/beschuldiging...

Verder die vrienden lekker laten lachen, zij zitten op een systeem met virussen en ellende, jij niet (zie de reactie van Pieterr).

Dank Pieterr (en Robert). Waar het mij om gaat is dat je dus ook op een Mac niet 100% veilig bent. Wist ik op zich wel, maar ik schrok toch van de risico's die genoemd werden in de link. Maar goed, ik denk dat er bij Windows nog altijd heel wat meer deuren open staan dan bij OSX.

Er hoeft slechts één deur open te staan om in te kunnen breken. De veiligheid/onveiligheid van een browser hangt niet af van het aantal open deuren.

@ cricriot: Klopt, maar de deuren die openstaan bij OS X worden tot nu altijd gedicht voordat er op grote schaal de mogelijkheid is om er gebruik van te maken. Het zijn dus alleen gespecialiseerde hackers die er wat mee kunnen, die laten het aan Apple weten en voordat er 'inbrekers-gereedschappen' zijn is de deur alweer dicht.

Daarbij zou het (relatief kleine) marktaandeel van OS X volgens sommigen ook nog helpen, maar dat lijkt inmiddels weerlegt door iOS (dat met een gigantisch marktaandeel nog steeds veel veiliger was dan Android).

roel22 om 09:28, 04-04-2014
Waar het mij om gaat is dat je dus ook op een Mac niet 100% veilig bent. Wist ik op zich wel, maar ik schrok toch van de risico's die genoemd werden in de link. Maar goed, ik denk dat er bij Windows nog altijd heel wat meer deuren open staan dan bij OSX.

Wat jij hebt gelezen, is het standaardverhaal van risico's van de waarschuwingsdienst:

Een aanvaller kan via het misbruiken van de beveiligingslekken de controle krijgen over je computer. Zo is het mogelijk dat:
* Persoonlijke gegevens, zoals wachtwoorden of creditcardgegevens, in handen van kwaadwillenden komen.
* Essentiële computerbestanden worden verwijderd, waardoor je computer niet meer werkt.
* Bestanden worden herschreven, waardoor deze niet meer bruikbaar zijn.
* Je computer wordt ingezet bij aanvallen gericht op andere computers op internet zonder dat je dit merkt (zie hiervoor ook de botnetfilm van Waarschuwingsdienst.nl).
* Je computer wordt gebruikt voor het versturen van spam zonder dat je dit merkt.
* Opnamemogelijkheden voor geluid of beeld (je webcam) zonder dat je het merkt van buitenaf worden aangezet en bediend. Jij, je huisgenoten en je eigendommen kunnen zo ongemerkt afgeluisterd of bekeken worden door iemand van buiten.

Met andere woorden: dit staat bij alle beveiligingslekken bij alle OS-en. Welk risico je bij welk lek loopt, geven ze niet op. Ze dekken zichzelf in door alle mogelijke risico's op te sommen. Want als ze vergeten te vertellen dat je systeembestanden kwijt kunt raken, en je raakt een systeembestand kwijt, dan valt hun niet te verwijten dat ze je niet gewaarschuwd hadden...

Dank Macfrankie, dat verklaart een hoop.

Graag gedaan!

Maar let op, zelfs met een 100% veilige browser loop je nog risico. Geen enkele computer kan je beveiliging bieden tegen phishing of social engineering. Je moet dus altijd alert zijn op mensen die wat minder eerlijk zijn op het internet.

Zo was afgelopen week nog op tv te zien hoe mensen werden opgelicht. De nieuwste iPhone werd voor €350 op een site aangeboden. Dat leek te mooi om waar te zijn. Guess what: het was ook te mooi om waar te zijn, de mensen die geld hebben overgemaakt, zijn het geld kwijt, en hebben geen iPhone ontvangen.

Ik vind het best heftige bugs eerlijk gezegd. Waarschuwingsdienst pakt standaard-tekst om mensen niet op ideeen te brengen, maar als je even verder leest bij Apple wat de security-fixes zijn, dan zie je daar een flinke rij CVE-nummers.
Google op die CVE-nummers en je krijgt een detail-omschrijving.

Ik heb ze niet allemaal bekeken, maar als je bijvoorbeeld de laatste zoekt, dan vind je CVE-2014-1297. Daar staat dus dat een aanvaller via het netwerk zonder hulp van de gebruiker (lees: zonder dat je ergens op moet klikken) de sandbox van Safari kan omzeilen en dat dat niet moeilijk is.

of nog een ergere: CVE-2014-1300, waar een aanvaller willekeurige code met root-privileges kan uitvoeren. Oftewel: je computer volledig overnemen….

En dat allemaal door een goed geprepareerde website in te richten en jou te verleiden daar naar toe te gaan. Dat kan via een goede phishing mail, maar je ziet tegenwoordig ook steeds vaker dat er een advertentieplatform geïnfecteerd wordt. Als je dan naar een populaire website gaat, krijg je dit soort ellende gewoon mee via het advertentiekanaal.

Heel snel updaten allemaal dus !

Waar Robert het grenzeloze verrtouwen vandaan haalt dat alleen goede en aardige hackers OSX onderzoeken is mij een raadsel?

Robert en ik en met ons vele anderen halen ons grote (niet grenzeloze) vertrouwen in Apple uit het feit dat lekken gefixt zijn voordat ze tot problemen hebben geleid. Tel daarbij op dat de combinatie OS X met Safari veel veiliger is dan Windows 8 met Internet Explorer, dan weet je dat je met een Apple het beste hebt wat er te krijgen is!

Jaco, uiteraard is het verstandig om vaak en veel bij veiligheid stil te staan.
Maar het blijft ook zaak om e.e.a. in perspectief te bijven zien. Als je googlet naar geslachtsziekten en andere risico's van sex, zou je ook accuut stopen met deze tak van sport. Of je graaft naar de risico's van het deelnemen aan het verkeer. Na 2 uur wil je nooit meer de straat op.
100% veiligheid bestaat niet, nergens. En daarom kun je je gedachten ook een 180° draai geven: juist doordat je deze informatie tegen komt, wordt er dus alles aan gedaan de veiligheid op een hoog peil te houden. Erger zou zijn als je er weinig over kunt vinden.

Veiligheid is niet enkel een opsomming van feiten; veiligheid is ook een filosofie, een levenshouding.
En dat durf ik te zeggen als professional waar safety de core business is...  

@flix, Zo'n laatste zin ondermijnt helaas je hele betoog  

Als ik zoek naar risico's in het verkeer, dan kan ik ook besluiten dat er altijd wat kan gebeuren en dat ik dus geen moeite neem om me aan de verkeersregels te houden of preventief een gordel te dragen.

@Flix: Mijn focus op veiligheid komt deels doordat ik een professional ben in de safety en security. (Ik ben het eens met @cricriot, je ondermijnt je betoog (of je baan…)).

Ja, veiligheid is een levenshouding en ja, daarom wil ik iedereen aansporen om dit soort security-fixes niet te lang uit te stellen. Omdat ik weet wat er mis gaat en kan gaan….

Kun je ook achteloos je schouders ophalen en het negeren? Tuurlijk, de kans dat je daar goed mee weg komt is groot, immers OS X is vele malen veiliger dan de alternatieven. Maar het kan dus ook fout gaan, 100% veiligheid bestaat inderdaad niet.

Ieder zijn eigen keuze !