geplaatst door: Robert
https://www.macfreak.nl/modules/news/images/Mavericks-icoon.jpg
Security Update 2015-004 Mavericks en Mountain Lion
Apple heeft twee Security Update uitgebracht, die zijn voor OS X 10.9/Mavericks en 10.8/Mountain Lion. Als je je afvraagt waarom 10.10/Yosemite daar niet bijzit, die heeft een veel betere update gekregen, maar die zat in de 10.10.3 update van twee dagen geleden.

Veel beter, want OS X heeft een probleem dat ontdekt werd door Emil Kvarnhammar van TrueSec, waarmee een hacker root-rechten zou kunnen krijgen en zo je hele systeem zou kunnen overnemen. Toen Emil Kvarnhammar dit probleem in oktober vorig jaar aan Apple meldde werd hem gevraagd om het langer stil te houden dan de 90 dagen die daar normaal gesproken voor staan, want het zou Apple veel meer tijd kosten om dit op te lossen.

Inmiddels is het dus in 10.10.3 opgelost, maar deze Security Updates voor Mavericks en Mountain Lion zullen dit niet verhelpen en Apple komt ook niet met een oplossing voor oudere systemen, dat zou te gecompliceerd zijn. Apple adviseert iedereen simpelweg om zo snel mogelijk up te graden naar 10.10/Yosemite.

Meer informatie hierover is te vinden op deze pagina van Apple.

Gebruik je nog wel Mavericks of Mountain Lion dan is het natuurlijk nog steeds aan te raden om onderstaande Security Updates te installeren, maar het lijkt tijd om te overwegen of het misschien tijd is om over te stappen naar 10.10.3/Yosemite.

Klik hier voor informatie over het onder de aandacht brengen van producten of diensten op MacFreak.
Security Update 2015-004 Mavericks en Mountain Lion
10 april 2015 - 12:56    reactie #1
geplaatst door: Pieterr
Ik vind het een slechte zaak dat Apple dit soort gaten niet meer in oudere OS X versies dicht, en het als middel inzet om maar zo snel mogelijk iedereen naar de laatste OS X versie te krijgen. Er zijn voldoende redenen om niet altijd de allerlaatste OS X versie te willen of kunnen gebruiken. Apple bewijst hiermee een slechte dienst aan zijn trouwe klanten.


https://truesecdev.wordpress.com/2015/04/09/hidden-backdoor-api-to-root-privileges-in-apple-os-x/


Citaat


Apple has now released OS X 10.10.3 where the issue is resolved. OS X 10.9.x and older remain vulnerable, since Apple decided not to patch these versions. We recommend that all users upgrade to 10.10.3.

"One experiment is worth a thousand expert opinions."
Security Update 2015-004 Mavericks en Mountain Lion
10 april 2015 - 12:59    reactie #2
geplaatst door: GeorgeM
Ik ben het helemaal met Pieterr eens, maar als ze er zolang over hebben gedaan om dit te patchen dan zal het wel een erg stevig gat geweest zijn.

Maar ik zit nu ook voor het blok, ik gebruik zelf op dit moment nog 10.9.5 en wil eigenlijk nog niet over. Maar denk daar nu wel over na.
Security Update 2015-004 Mavericks en Mountain Lion
10 april 2015 - 14:57    reactie #3
geplaatst door: x7
Heb ook nog helemaal geen zin in Yosemite. Hoe gevaarlijk is dit eigenlijk in de praktijk? Moet je fysiek toegang hebben tot de computer of kan het ook via het netwerk cq. internet?
Security Update 2015-004 Mavericks en Mountain Lion
10 april 2015 - 15:04    reactie #4
geplaatst door: Pieterr
In principe kan deze backdoor ook gebruikt worden als onderdeel van een remote aanval.

Citaat


This is a local privilege escalation to root, which can be used locally or combined with remote code execution exploits.
"One experiment is worth a thousand expert opinions."
Security Update 2015-004 Mavericks en Mountain Lion
10 april 2015 - 15:46    reactie #5
geplaatst door: NicoJ
En waarom wordt dit voor Mavericks niet gepatcht?
Security Update 2015-004 Mavericks en Mountain Lion
10 april 2015 - 16:06    reactie #6
geplaatst door: FreakinFrank
Ik zou wel willen upgraden maar ben zo gehecht aan mijn Wacom tablet.
Security Update 2015-004 Mavericks en Mountain Lion
10 april 2015 - 16:09    reactie #7
geplaatst door: Pieterr
@NicoJ: Omdat dat Apple geld kost. En dat hebben ze niet...  :dontgetit:

Het gaat in dit specifieke geval niet om een toevallige bug, maar om een bewuste (backdoor) feature die door Apple software zelf gebruikt werd om wijzigingen in het systeem aan te kunnen brengen. Voor Yosemite heeft Apple dat nu aangepast. Ze hebben geen zin/tijd/geld/mensen om dat ook nog eens voor de eerdere OS X versies te doen. Een slap excuus.
"One experiment is worth a thousand expert opinions."
Security Update 2015-004 Mavericks en Mountain Lion
10 april 2015 - 16:53    reactie #8
geplaatst door: Francien63
Je kunt nu concluderen dat de levensduur van Mavericks niet langer dan 1,5 jaar is gebleken. Het wachten is dan op 10.11 in oktober waarna Yosemite ook op de afvalhoop kan.
Security Update 2015-004 Mavericks en Mountain Lion
10 april 2015 - 21:32    reactie #9
geplaatst door: Backspin
Je kunt je afvragen wat het nut is van de security updates voor 10.8 en 10.9, als het door Kvarnhammar ontdekte lek daarin niet gepatched wordt.
Is een beetje als extra sloten op je al je ramen doen, maar de voordeur wijd open laten staan. Rare beslissing van Apple.
apple certified system administrator - http://www.backspin.nl
Security Update 2015-004 Mavericks en Mountain Lion
11 april 2015 - 00:32    reactie #10
geplaatst door: GeorgeM
@ Backspin: ik zit nog op Mavericks, en heb toch liever extra sloten op m'n ramen, ook als de deur niet goed op slot zit.

Ondertussen ben ik aan het kijken of ik binnenkort naar Yosemite over kan gaan. Liever extra sloten op de ramen èn de deur op slot.
Security Update 2015-004 Mavericks en Mountain Lion
11 april 2015 - 17:39    reactie #11
geplaatst door: gerrit appel
Komende van Mavericks is Yosemite niet zo'n grote stap. Je zou die dus met gemak kunnen doen.

Voor wie nog op Mountain Lion zit is de overgang veel groter. Wie daar nog op zit heeft vaak die keuze bewust genomen, zoals ikzelf.

Dan is deze beslissing een zure Appel  :smile:
tot ziens.
Security Update 2015-004 Mavericks en Mountain Lion
12 april 2015 - 02:41    reactie #12
geplaatst door: HEXDIY
Citaat
Ik vind het een slechte zaak dat Apple dit soort gaten niet meer in oudere OS X versies dicht, en het als middel inzet om maar zo snel mogelijk iedereen naar de laatste OS X versie te krijgen. Er zijn voldoende redenen om niet altijd de allerlaatste OS X versie te willen of kunnen gebruiken. Apple bewijst hiermee een slechte dienst aan zijn trouwe klanten.
+1 Pieterr!
Wat als je met oudere hardware zit? Trek je plan? Die oude beestjes moeten nog wél mee, hoor!
Wat als Yosemite voor jou niet werkt WiFigewijs, zoals bij een select maar hardnekkig groepje onfortuinlijken?
En waarom wil Apple iedere gebruiker zo snel mogelijk naar 10.10.3 krijgen? Dit ruikt naar een nog veel groter gat: de NSA/GCHQ? Scabreuze connotaties mogen daar zeer zeker bij worden gelezen...
Pff, ik hou het gewoon voor de meeste van mijn Macs bij Snow Leopard.
If it ain't broke, don't fix it! Recycle the planet, we're gonna need it! Think different, think twice, Apple!
M1 is a success! Please do not forget Mac OS.
Security Update 2015-004 Mavericks en Mountain Lion
12 april 2015 - 09:17    reactie #13
geplaatst door: MacFrankie
Pieterr en HEXIDY: +1!

Overigens ben ik zelf erg tevreden met Mountain Lion. Stabiel met iCloud zonder wifi en andere problemen.
Op mijn werk heb ik al Windows, thuis wil ik geen systeembeheerder meer zijn!