macOS High Sierra 10.13.2 Supplemental Update patches macOS 10.13 to mitigate the effects of Spectre (CVE-2017-5753 and CVE-2017-5715) in Safari and other software using WebKit in High Sierra.https://support.apple.com/en-us/HT208397
iOS 11.2.2 patches Apple's mobile OS to mitigate the effects of Spectre (CVE-2017-5753 and CVE-2017-5715) for its 64-bit mobile products (iPhone 5s and later) running iOS 11.https://support.apple.com/en-us/HT208401
bron: https://www.macintouch.com Monday, Jan. 08, 2018 14:20 EST
(Bewerkt door rt om 20:57, 8-01-2018)
Het is interessant om te zien wat de gevolgen van die 'mitigations' voor Meltdown en Spectre zijn. Het is blijkbaar niet zo eenvoudig (geen leedvermaak!):https://www.theregister.co.uk/2018/01/08/microsofts_spectre_fixer_bricks_some_amd_powered_pcs/
Ook de meldingen van cyrano mbt de testers en programmeurs laten zien dat een en ander niet in een keer werkt. Het lijkt me niet een storm in een glas water die nu over is zoals elders gesuggereerd.
(Bewerkt door rt om 8:37, 9-01-2018)
rt om 8:36, 9-01-2018Ook de meldingen van cyrano mbt de testers en programmeurs laten zien dat een en ander niet in een keer werkt. Het lijkt me niet een storm in een glas water die nu over is zoals elders gesuggereerd.
Volg het nieuws op de voet via gewone media als radio en TV, de regering houdt u op de hoogte van de toestand.
boni om 11:00, 9-01-2018Volg het nieuws op de voet via gewone media als radio en TV, de regering houdt u op de hoogte van de toestand.
Als je amusement zoekt, is dat waar je moet zijn.
Maar ioHIDeous is ook nog niet gepatcht. Voor ons niet zo'n zorg, maar er zijn al bitcoin wallets gestolen via dit gat.
Mij geen probleem. De 2 en een beetje bitcoins die ik had, zijn jaren geleden verdwenen met de harddisk die de geest gaf.
cyrano om 11:45, 9-01-2018Citaatboni om 11:00, 9-01-2018Volg het nieuws op de voet via gewone media als radio en TV, de regering houdt u op de hoogte van de toestand. Als je amusement zoekt, is dat waar je moet zijn.
cyrano om 11:45, 9-01-2018Maar ioHIDeous is ook nog niet gepatcht. Voor ons niet zo'n zorg, maar er zijn al bitcoin wallets gestolen via dit gat.
cyrano om 11:45, 9-01-2018Mij geen probleem. De 2 en een beetje bitcoins die ik had, zijn jaren geleden verdwenen met de harddisk die de geest gaf.
Maar terug over de veiligheid issue's.Rest nu nog de meltdown.Ik google er nu even op en kom op een bericht van 5 dagen geleden.https://www.hln.be/ihln/multimedia/meltdown-en-spectre-wat-is-het-en-wat-kan-je-ertegen-doen~af79ab82/
Dat leest Jan met de Macpet ook, te weten het half dozijn Mac dummies dat in onder mijn hoede heb.Ik lees in het artikel o.a.
"Wat is het verschil tussen Meltdown en Spectre?Meltdown sloopt de veiligheidsmuur tussen applicaties en het systeemgeheugen, waardoor programmas toegang krijgen tot dat geheugen. Spectre leidt andere programmas om de tuin om zich toegang te verschaffen tot willekeurige locaties in hun geheugen. Beide aanvallen gebruiken zijwegen om informatie te verkrijgen uit het geheugen. Spectre zal ons, volgens veiligheidsspecialist Daniel Gruss, nog jaren last bezorgen. Om ons definitief van Spectre te verlossen, zal er een nieuw soort chip moeten ontworpen worden".
Meltdown sloopt de veiligheidsmuur tussen applicaties en het systeemgeheugen, waardoor programmas toegang krijgen tot dat geheugen. Spectre leidt andere programmas om de tuin om zich toegang te verschaffen tot willekeurige locaties in hun geheugen. Beide aanvallen gebruiken zijwegen om informatie te verkrijgen uit het geheugen. Spectre zal ons, volgens veiligheidsspecialist Daniel Gruss, nog jaren last bezorgen. Om ons definitief van Spectre te verlossen, zal er een nieuw soort chip moeten ontworpen worden
Concreet, wat moet ik mijn Mac dummies antwoorden als ze me ongerust een email zenden daarover?In het topic Serieuze hack voor Sierra en High Sierra openbaar gemaakt (link) antwoordde je al:
"Voor IOhideous heb ik geen raad, sorry. Dat zit heel diep in OSX. Een goede oplossing moet van Apple zelf komen.Van Meltdown hoef je je als gewone gebruiker niet veel aan te trekken. De onderwereld heeft het al opgegeven als te moeilijk.Spectre is een ander geval. Het is exploiteerbaar via de browser, met Javascript. Firefox heeft al beveliging in de laatste versie. In Chrome kan je die aanzetten in recente versies en 23 januari komt een nieuwe versie uit die de beveliging standaard heeft. Dat kost wel wat snelheid, maar heel erg is 't niet.Je kan ook javascript uit zetten, maar dat werkt niet voor mij. Teveel dingen die 't zonder niet doen...En kijk uit voor phishing, via mail en natuurlijk voor dubieuze apps, incl. die van de appstore.Cyrano"
Van Meltdown hoef je je als gewone gebruiker niet veel aan te trekken. De onderwereld heeft het al opgegeven als te moeilijk.
Spectre is een ander geval. Het is exploiteerbaar via de browser, met Javascript. Firefox heeft al beveliging in de laatste versie. In Chrome kan je die aanzetten in recente versies en 23 januari komt een nieuwe versie uit die de beveliging standaard heeft. Dat kost wel wat snelheid, maar heel erg is 't niet.
Je kan ook javascript uit zetten, maar dat werkt niet voor mij. Teveel dingen die 't zonder niet doen...
En kijk uit voor phishing, via mail en natuurlijk voor dubieuze apps, incl. die van de appstore.
Cyrano
Dat ze uit moeten kijken voor phishing zeg ik ze al jaren.Automatische updates van Apple heb ik bij alleen aangezet.Voor dubieuze app's moet ik ze niet meer waarschuwen. Apple's heeft dat gat gisteren gedicht met een update.Safari heeft ook een update gekregen, dus over Firefox gebruiken moet ik ze ook niet spreken.Dus zoals ik eerder schreef:weeral de zoveelste security-storm in een glas water die voorbij is.Oh ja, Ik kan ze nog zeggen dat ze maar al moeten gaan sparen voor een nieuwe Mac, wanneer een nieuw soort chip beschikbaar is moeten ze daar voor gaan, want zijn ze definitief bevrijdt van de spectre dreiging en kunnen ze weer op twee oren slapen.
(Bewerkt door boni om 13:38, 9-01-2018)
Deze morgen op volgende toestellen, gelijktijdig, de update opgestart.
Hoe kan dit?
geblokkeerd
wivy om 13:55, 9-01-2018Op de MacBook Air was de update 8 min. vroeger afgelopen dan op de iMac ...Hoe kan dit?
Simpel: de updates zijn niet voor elke machine gelijk. En het net speelt ook nog een rol.
CitaatMaar ioHIDeous is ook nog niet gepatcht. Voor ons niet zo'n zorg, maar er zijn al bitcoin wallets gestolen via dit gat. Bij mensen die Mac computers gebruiken?
Ja.
Citaatcyrano om 11:45, 9-01-2018Mij geen probleem. De 2 en een beetje bitcoins die ik had, zijn jaren geleden verdwenen met de harddisk die de geest gaf.Had je bitcoins op de harde schijf / SSD van je Mac staan?
Dat was op een Cube. Twee bitcoins per dag. Maar dat was voor testen. Ik was geen miner. Een pizza kostte toen meer dan 10.000 bc.
Daar ik af en toe het nieuws wel is volg weet ik wel dat de medestichter van Bitcoin zegt dat Bitcoin compleet onbruikbaar is. Zie https://nl.express.live/2017/12/19/147527emil-oldenburg-bitcoin/
"Medestichter"? Die was er toen niet eens bij...
Meltdown sloopt de veiligheidsmuur tussen applicaties en het systeemgeheugen, waardoor programmas toegang krijgen tot dat geheugen. Spectre leidt andere programmas om de tuin om zich toegang te verschaffen tot willekeurige locaties in hun geheugen.
Dat is gewoon fout voor Spectre.
Het is complex. Voor de modale gebruiker telt dat het via een browser kan werken. Meltdown niet.
Overigens is Firewire/Thunderbolt ook zo'n gat waarlangs je het hele ram geheugen kan lezen. Maar natuurlijk alleen lokaal. En wie lokaal toegang tot je Mac heeft en kennis, komt overal in, behalve in File Vault. Hoop ik. Account en firmware paswoorden kunnen gereset worden, maar voor FV met een lange passphrase is mij geen methode bekend.
Concreet, wat moet ik mijn Mac dummies antwoorden als ze me ongerust een email zenden daarover?In het topic Serieuze hack voor Sierra en High Sierra openbaar gemaakt (link) antwoordde je al:"Voor IOhideous heb ik geen raad, sorry. Dat zit heel diep in OSX. Een goede oplossing moet van Apple zelf komen.Van Meltdown hoef je je als gewone gebruiker niet veel aan te trekken. De onderwereld heeft het al opgegeven als te moeilijk.Spectre is een ander geval. Het is exploiteerbaar via de browser, met Javascript. Firefox heeft al beveliging in de laatste versie. In Chrome kan je die aanzetten in recente versies en 23 januari komt een nieuwe versie uit die de beveliging standaard heeft. Dat kost wel wat snelheid, maar heel erg is 't niet.Je kan ook javascript uit zetten, maar dat werkt niet voor mij. Teveel dingen die 't zonder niet doen...En kijk uit voor phishing, via mail en natuurlijk voor dubieuze apps, incl. die van de appstore.Cyrano"Dat ze uit moeten kijken voor phishing zeg ik ze al jaren.Automatische updates van Apple heb ik bij alleen aangezet.
Dat ze uit moeten kijken voor phishing zeg ik ze al jaren.Automatische updates van Apple heb ik bij alleen aangezet.
Dat blijft geldig.
Voor dubieuze app's moet ik ze niet meer waarschuwen. Apple's heeft dat gat gisteren gedicht met een update.
Dubieuze apps gaan imho alleen maar toenemen. Niet noodzakelijk in deze context.
Safari heeft ook een update gekregen, dus over Firefox gebruiken moet ik ze ook niet spreken.Dus zoals ik eerder schreef:weeral de zoveelste security-storm in een glas water die voorbij is.
Klopt. ioHIDeous is veel erger. De enige reden die ik zie waarom de pers op dit sprong, is dat het over ALLE computers en ALLE foons ging. Dus geen impact op reclame budgetten.
Blackberry heeft dit gat niet, geloof ik. Die hebben nog geprobeerd wat reclame puntjes te scoren, maar dat is niet echt gelukt.
Oh ja, Ik kan ze nog zeggen dat ze maar al moeten gaan sparen voor een nieuwe Mac, wanneer een nieuw soort chip beschikbaar is moeten ze daar voor gaan, want zijn ze definitief bevrijdt van de spectre dreiging en kunnen ze weer op twee oren slapen.
Dat zal nog wel enkele jaren duren. En 't geheugen van de consument is zo lang niet...
cyrano om 22:46, 9-01-2018CitaatDaar ik af en toe het nieuws wel is volg weet ik wel dat de medestichter van Bitcoin zegt dat Bitcoin compleet onbruikbaar is. Zie https://nl.express.live/2017/12/19/147527emil-oldenburg-bitcoin/"Medestichter"? Die was er toen niet eens bij....
"Medestichter"? Die was er toen niet eens bij....
Nou weten we al lang dat veel internetsites een bericht, een verhaal gewoon van elkaar overnemen.Maar volgens jou was hij er dus niet bij. Goed voor mij. Ik ken hem en het bitcoin verhaal niet.Beetje nieuwsgierig ben ik toch wel naar hoe jij dan zo zeker bent dat hij er niet bij was. Vanwaar haal jij jouw informatie, heb je een link naar website met het juiste verhaal misschien?
cyrano om 22:46, 9-01-2018CitaatMeltdown sloopt de veiligheidsmuur tussen applicaties en het systeemgeheugen, waardoor programmas toegang krijgen tot dat geheugen. Spectre leidt andere programmas om de tuin om zich toegang te verschaffen tot willekeurige locaties in hun geheugen. Dat is gewoon fout voor Spectre.
Algoed dat ik het minstens half dozijn Mac-dummies die ik assisteer goed opgevoed heb en ze mij daarom geen ongeruste emails sturen. Ik heb ze allemaal herhaaldelijk gemeld dat ik hen wel zou contacteren als er werkelijk een dreiging is die niet binnen een paar weken opgelost is door Apple via de automatische updates.
cyrano om 22:46, 9-01-2018CitaatOh ja, Ik kan ze nog zeggen dat ze maar al moeten gaan sparen voor een nieuwe Mac, wanneer een nieuw soort chip beschikbaar is moeten ze daar voor gaan, want zijn ze definitief bevrijdt van de spectre dreiging en kunnen ze weer op twee oren slapen. Dat zal nog wel enkele jaren duren. En 't geheugen van de consument is zo lang niet...
Flix op 2 januari 2018[/b]Punt is wel: wat heeft de gemiddelde gebruiker aan deze informatie? Een 'dank voor de waarschuwing' is één, maar wat is stap twee? Kext IOHIDFamily weggooien? Geen software meer downloaden? Mac uitzetten?Zeg het maar: wat moeten 'we' nu doen?Citaatrt om 10:30, 2-01-2018Tevens geeft hij (de ontdekker van de exploit) gebruikers het advies om geen onbetrouwbare software uit te voeren...Zie ik nou een open deur open staan?Want dit advies wordt al 15 jaar gegeven, vanwege duidend-en-één goede redenen. Hebben we nu reden duizend-en-twee, dat wel.
rt om 10:30, 2-01-2018Tevens geeft hij (de ontdekker van de exploit) gebruikers het advies om geen onbetrouwbare software uit te voeren...
Gast
