Het team van Google's Project Zero houdt zich alleen maar bezig met het vinden van problemen in besturingssystemen. Ze hebben nu een ernstig probleem gevonden in de kernel van macOS, waarbij kwaadwillenden bestanden zouden kunnen veranderen zonder dat het systeem dat door zou hebben.

Google's Project Zero heeft als policy dat ze bugs - ook dit soort ernstige - 90 dagen nadat ze aan de partij waar om gaat doorgegeven zijn openbaar worden gemaakt. Omdat deze bug dateert van 30 november is het inmiddels zover, de details zijn daarom nu dan ook op deze pagina te vinden. De vraag lijkt dan ook vooral waarom Apple het na 90 dagen nog niet opgelost heeft. Er is op 28 februari nog wel contact met Apple hierover geweest, het is de bedoeling dat in een toekomstige update dit probleem opgelost zal worden, de mensen van Google's Project Zero werken nu samen met Apple om dit op te lossen.



De details

Google's Project Zero brengt kijkt naar alle besturingssystemen voor soort problemen, in het afgelopen jaar werden er bijvoorbeeld ook ernstige problemen in zowel in Windows 10 S als Microsoft’s Edge browser gevonden. Hieronder de details zoals door het team van Project Zero gegeven zijn:

XNU has various interfaces that permit creating copy-on-write copies of data
between processes, including out-of-line message descriptors in mach messages.
It is important that the copied memory is protected against later modifications
by the source process; otherwise, the source process might be able to exploit
double-reads in the destination process.

This copy-on-write behavior works not only with anonymous memory, but also with
file mappings. This means that, after the destination process has started
reading from the transferred memory area, memory pressure can cause the pages
holding the transferred memory to be evicted from the page cache. Later, when
the evicted pages are needed again, they can be reloaded from the backing
filesystem.

This means that if an attacker can mutate an on-disk file without informing the
virtual management subsystem, this is a security bug.

MacOS permits normal users to mount filesystem images. When a mounted filesystem
image is mutated directly (e.g. by calling pwrite() on the filesystem image),
this information is not propagated into the mounted filesystem.

Wat betekent dit voor ons

Omdat er op dit moment nog geen actieve hacks bekend zijn lijkt het risico relatief klein, ondanks dat het hier om een ernstig beveiligingsprobleem gaat. En omdat de mensen van Project Zero met Apple aan het werk zijn om het op te lossen lijkt het een kwestie van tijd tot die oplossing er is.

Waarbij het natuurlijk te hopen is dat die oplossing uitkomt voordat er hacks die hiervan gebruik maken ‘in het wild’ opduiken. Mocht dat laatste het geval zijn, dan is dat natuurlijk hier op MacFreak te lezen.


Maandelijks trekt MacFreak meer dan 65.000 mensen die hier gemiddeld 5 minuten zijn. Als je die allemaal wilt bereiken door sponsoring, advertenties of pagelinks, alle mogelijkheden daarvoor zijn op deze pagina te vinden.

Mogelijk (minder of on)bekend, ook iOS is hier vatbaar voor. Mede Project Zero is gebruikt voor een Jailbreak. Overigens is de exploit ook op andere manieren reeds al een tijd te vinden op het Dark Web ...

Er zijn - langs de Russisch/Chinese weg - oplossingen te bestellen waarbij zelfs een combinatie van verschillende hacks wordt aangeboden (denk aan de FireWire hacks, Thunderbolt hacks) ...

Verder hebben we nog wat Kernel Level Memory Corruption zwakheden in macOS/iOS en nog bepaalde zaken die gefixt moeten worden. Op zich hoop ik dat Apple zich komende tijd iets meer inzet in het nog verder verbeteren van de beveiliging en stabiliteit van de software. Want in de kern zijn er de nodige zaken die de aandacht (beginnen) te krijgen ... Ook software heeft een bepaalde houdbaarheidsdatum.

Nieuwe inzichten, nieuwe denkwijzen en soms ook gewoon stom toeval dat mensen problemen ontdekken.

Ik zie nog zeker geen schepen branden, maar het mag allemaal best naar een volgend plan (lees: niveau) getild worden. Stilstand is achteruitgang, dat geldt zeker in de IT.

Al heb ik een vermoeden dat Apple hoog zal inzetten op het samensmelten van iOS met macOS en (mogelijk) (vanaf dat moment) een agressieve campagne om Microsoft en de 2:1 markt eens goed wakker te schudden.

Eerlijk is eerlijk: ik zie alsmaar meer mensen met een Microsoft Surface en deze nog zinnig gebruiken ook nog eens. Vooral de ijzersterke combinatie van een (beter) toetsenbord (dan de iPad) en het kunnen draaien van (volwaardige) software alsmede het kunnen tekenen op het scherm (indien nodig) en de aansluitmogelijkheden: daar hoor ik toch de nodige positieve geluiden over.

Eerlijk is eerlijk: heb er geen getest, dus kan er niet over oordelen. Maar kan me wel zo het nodige bij voorstellen.

Terug naar de kern: eens zien hoe snel Apple dit varkentje wast en met een oplossing komt ... 90 dagen na het melden zijn in ieder geval voorbij en het lek is ook - op zich - niet nieuw. Dus echt snel is men niet gekomen met een oplossing. Gelukkig heeft niemand hem misbruikt, maar het kan wel ...

... Aan de andere kant ... met de grootste wil van de wereld kun je nog steeds het nodige kwaad aanrichten in een vliegtuig ... Overhoorde een luguber verhaal van twee jonge mannen die - nadat ze uitvoerig waren gecontroleerd door de douane - noch napraatten ... "vooraf geprepareerd plastic (niet alle soorten bruikbaar) - of zelfs tablet of notebook. In het vliegtuig kapot slaan en je hebt een steek wapen. Vervolgens gaven ze (niet slim) een hele opsomming aan (ik vermoed) commando technieken die je kunt gebruiken ... En eerlijk is eerlijk: "it made sense" ...

... maar dat het kan wil niet zeggen dat het gebeurd, of dat men de moeite neemt ... Maar er is wel (weer) een lek dat men misbruiken kan - zeker nu het bekend is geraakt bij het 'grotere publiek'.

Ach ja, IT Beveiliging: zal altijd een kat en muis spel blijven.

Nieuwe inzichten, nieuwe denkwijzen en soms ook gewoon stom toeval dat mensen problemen ontdekken.

Het is niet zomaar stom toeval dat er problemen ontdekt worden door Project Zero. Er wordt zeer bewust gezocht naar issues.


https://googleprojectzero.blogspot.com/p/working-at-project-zero.html
https://en.wikipedia.org/wiki/Project_Zero