Er is een nieuw beveiligingslek gevonden in macOS Ventura. Het lek wordt nu openbaar gemaakt nadat Apple er in tien maanden tijd niet in geslaagd is om het te op te lossen.
Lees verder na de advertentie.
Beveiligingslek in macOS Ventura
Jeff Johnson is een ontwikkelaar die in de loop der jaren allerlei beveiligingslekken heeft gevonden in verschillende online diensten en software. Zijn meest recente onthulling is een beveiligingslek in macOS Ventura. Hij maakt het lek openbaar omdat Apple er na tien maanden nog niet in is geslaagd om het probleem op te lossen.
Johnson schreef in oktober een blog over de App Management-functie van macOS Ventura, waarin hij het lek ontdekte. Hij stuurde zijn bevinding naar Apple Product Security. Daar ontdekten ze het probleem op 19 oktober, maar er werd ogenschijnlijk niets mee gedaan. Exact negen maanden later, op 19 augustus, maakte Johnson het lek openbaar.
Het gevaar van het lek in macOS Ventura
Over het algemeen worden beveiligingslekken bekend gemaakt binnen een bepaalde periode nadat de ontwikkelaar op de hoogte is gesteld. Vaak is dat 60 tot 120 dagen later, zodat er voldoende tijd is om een oplossing te vinden. Maar de enige reden dat Johnson de lek openbaar heeft gemaakt, is omdat hij er geen vertrouwen meer in heeft dat Apple nog met een oplossing komt.
In zijn blogpost van oktober zei Johnson dat er minstens zes verschillende manieren zijn waarop een app beheerdersrechten kan krijgen, maar hij hield de zesde methode geheim. Het beveiligingslek zit in de zesde methode. Volgens de ontwikkelaar gaat het om de sandbox van een app. Johnson ontdekte per ongeluk dat een sandbox-app bestanden kon aanpassen die hij eigenlijk niet zou mogen wijzigen.
Om het probleem te demonstreren heeft Johnson een voorbeeld vrijgegeven met de broncode van twee apps en een sandboxed-app in een non-sandboxed versie. De sandboxed help-app is een document dat de inhoud van een bestand kan overschrijven. Johnson zegt dat het overschrijven in macOS 13.5.1 het App Management volledig omzeilt.
Johnson creëerde in juni 2020 ook al een voorbeeld van een beveiligingslek in macOS Mojave, waarmee de privacy- en beveiligingsbescherming van bestanden werden omzeild. Hij omschreef de beveiliging van Apple toen als ‘beveiligingstheater’.
Wil je altijd op de hoogte blijven van het laatste nieuws over Apple? Meld je dan vooral even aan voor onze dagelijkse/wekelijkse nieuwsbrief. Download daarnaast de gratis iPhoned-app en houd onze website in de gaten. Dan mis je nooit meer een Apple-nieuwtje!