Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security...
16.1K views | +0 today
Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security...
Everything related to the (in)security of Apple products
Curated by Gust MEES
Your new post is loading...
Your new post is loading...
Scooped by Gust MEES!

CERTFR-2018-AVI-475 : Multiples vulnérabilités dans Apple iOS (09 octobre 2018)

CERTFR-2018-AVI-475 : Multiples vulnérabilités dans Apple iOS (09 octobre 2018)
De multiples vulnérabilités ont été découvertes dans Apple iOS. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité et une atteinte à la confidentialité des données.


Learn more / En savoir plus / Mehr erfahren:


Gust MEES's insight:

CERTFR-2018-AVI-475 : Multiples vulnérabilités dans Apple iOS (09 octobre 2018)
De multiples vulnérabilités ont été découvertes dans Apple iOS. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité et une atteinte à la confidentialité des données.


Learn more / En savoir plus / Mehr erfahren:


No comment yet.
Scooped by Gust MEES!

Pwn2Own 2018: Touch Bar eines MacBook Pro via Safari gehackt | #CyberSecurity #Apple #Browser #Vulnerabilities #NobodyIsPerfect 

Pwn2Own 2018: Touch Bar eines MacBook Pro via Safari gehackt | #CyberSecurity #Apple #Browser #Vulnerabilities #NobodyIsPerfect  | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... |

Über die Ausnutzung von insgesamt drei Fehlern gelang es einem Sicherheitsforscher, aus dem Browser heraus tief in macOS einzugreifen. Auch ein weiterer Safari-Hack verlief erfolgreich.

Auf der diesjährigen Pwn2Own der Zero Day Initiative im Rahmen der CanSecWest-Konferenz im kanadischen Vancouver gelangen Sicherheitsforschern in der letzten Woche zwei erfolgreiche Angriffe auf macOS über den Apple-Browser Safari.

Verkettung von drei Fehlern
Samuel Groß von der Gruppe phoenhex, dem zusammen mit einem Kollegen im vergangenen Jahr ein ähnlicher Angriff gelungen war, zeigte einen aus drei Fehlern bestehenden Angriff, bei dem es über Safari gelang, einen Text auf der eigentlich besonders geschützte Funktionstastenleiste Touch Bar eines MacBook Pro zu platzieren (siehe Bild). In Safari nutzte Groß einen JIT-Optimization-Bug und anschließend einen Logikfehler in macOS, um die Sandbox zu verlassen. Fehler drei war ein Kernel-Overwrite, über den Code mit Hilfe einer Kernel-Erweiterung ausgeführt werden konnte. Groß erhielt 65.000 US-Dollar und 6 "Master of Pwn"-Punkte.

EInem zweiten Team, den MWR Labs um Alex Plaskett, Georgi Geshev und Fabi Beterke, gelang am zweiten Tag der Pwn2Own wiederum ein Sandbox-Escape in Safari. Dabei wurden zwei Fehler ausgenutzt. Die Gruppe erhielt 55.000 Dollar und 5 "Master of Pwn"-Punkte.


Learn more / En savoir plus / Mehr erfahren:


Gust MEES's insight:

Über die Ausnutzung von insgesamt drei Fehlern gelang es einem Sicherheitsforscher, aus dem Browser heraus tief in macOS einzugreifen. Auch ein weiterer Safari-Hack verlief erfolgreich.

Auf der diesjährigen Pwn2Own der Zero Day Initiative im Rahmen der CanSecWest-Konferenz im kanadischen Vancouver gelangen Sicherheitsforschern in der letzten Woche zwei erfolgreiche Angriffe auf macOS über den Apple-Browser Safari.

Verkettung von drei Fehlern
Samuel Groß von der Gruppe phoenhex, dem zusammen mit einem Kollegen im vergangenen Jahr ein ähnlicher Angriff gelungen war, zeigte einen aus drei Fehlern bestehenden Angriff, bei dem es über Safari gelang, einen Text auf der eigentlich besonders geschützte Funktionstastenleiste Touch Bar eines MacBook Pro zu platzieren (siehe Bild). In Safari nutzte Groß einen JIT-Optimization-Bug und anschließend einen Logikfehler in macOS, um die Sandbox zu verlassen. Fehler drei war ein Kernel-Overwrite, über den Code mit Hilfe einer Kernel-Erweiterung ausgeführt werden konnte. Groß erhielt 65.000 US-Dollar und 6 "Master of Pwn"-Punkte.

EInem zweiten Team, den MWR Labs um Alex Plaskett, Georgi Geshev und Fabi Beterke, gelang am zweiten Tag der Pwn2Own wiederum ein Sandbox-Escape in Safari. Dabei wurden zwei Fehler ausgenutzt. Die Gruppe erhielt 55.000 Dollar und 5 "Master of Pwn"-Punkte.


Learn more / En savoir plus / Mehr erfahren:


No comment yet.
Scooped by Gust MEES!

Apple admits iOS is a mess, has a plan to make it better

Apple admits iOS is a mess, has a plan to make it better | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... |

Have you noticed how iOS has become buggier and less polished in recent years? Apple has noticed too, and is putting in place a plan to make things better.

Video: Secure your iPhone and iPad: Change these iOS 11 privacy and security settings now.

Apple is going to slow the pace at which it crams new features into iOS -- in favor of pushing out more polished releases, claims a Bloomberg report.

It's about time.


Learn more / En savoir plus / Mehr erfahren:


Gust MEES's insight:

Have you noticed how iOS has become buggier and less polished in recent years? Apple has noticed too, and is putting in place a plan to make things better.

Video: Secure your iPhone and iPad: Change these iOS 11 privacy and security settings now.

Apple is going to slow the pace at which it crams new features into iOS -- in favor of pushing out more polished releases, claims a Bloomberg report.

It's about time.


Learn more / En savoir plus / Mehr erfahren:


No comment yet.
Scooped by Gust MEES!

Beware! A new bug can crash iOS and macOS with a single text message | #Apple #Awareness #NobodyIsPerfect #Vulnerabilities #Naivety

Beware! A new bug can crash iOS and macOS with a single text message | #Apple #Awareness #NobodyIsPerfect #Vulnerabilities #Naivety | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... |

Beware! A new bug can crash iOS and macOS with a single text message

Be careful what you click on.

Abraham Masri, a Twitter user with the rather wonderful handle of @cheesecakeufo, has shared publicly a malicious link that is capable of crashing iOS and macOS when received through Apple's Messages app.

The link, which I'm only going to reproduce here as an image, points to a GitHub page.

Clicking on the link can cause your Messages application to crash on iOS and Mac devices, and you may find other peculiar behaviour occurs such as being returned to your lock screen.

It turns out that there's some pretty funky-looking code on that webpage.

Something about the so-called ChaiOS bug's code gives your Apple device a brainstorm. Ashamed about the mess it gets itself in, Messages decides the least embarrassing thing to do is to crash.

Nasty. But, thankfully, more of a nuisance than something that will lead to data being stolen from your computer or a malicious hacker being able to access your files.

Readers with long memories will recall that Apple users have been bedevilled by text bomb vulnerabilities like this in the past.


Learn more / En savoir plus / Mehr erfahren:


Gust MEES's insight:

Beware! A new bug can crash iOS and macOS with a single text message

Be careful what you click on.

Abraham Masri, a Twitter user with the rather wonderful handle of @cheesecakeufo, has shared publicly a malicious link that is capable of crashing iOS and macOS when received through Apple's Messages app.

The link, which I'm only going to reproduce here as an image, points to a GitHub page.

Clicking on the link can cause your Messages application to crash on iOS and Mac devices, and you may find other peculiar behaviour occurs such as being returned to your lock screen.

It turns out that there's some pretty funky-looking code on that webpage.

Something about the so-called ChaiOS bug's code gives your Apple device a brainstorm. Ashamed about the mess it gets itself in, Messages decides the least embarrassing thing to do is to crash.

Nasty. But, thankfully, more of a nuisance than something that will lead to data being stolen from your computer or a malicious hacker being able to access your files.

Readers with long memories will recall that Apple users have been bedevilled by text bomb vulnerabilities like this in the past.


Learn more / En savoir plus / Mehr erfahren:


No comment yet.
Scooped by Gust MEES!

iOS 9.3.4 schließt kritische Sicherheitslücke | #Apple #Updates #CyberSecurity #NobodyIsPerfect

iOS 9.3.4 schließt kritische Sicherheitslücke | #Apple #Updates #CyberSecurity #NobodyIsPerfect | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... |
Erst vor knapp zwei Wochen hat Apple iOS 9.3.3 veröffentlicht. Jetzt kommt mit iOS 9.3.4 ein außerplanmäßiges Update, das eine als kritisch eingestufte Sicherheitslücke schließt. Ein Problem in der Speicherverwaltung sorgt dafür, dass eine App beliebigen Code mit Kernel-Rechten ausführen kann, wie Apple im Security-Bulletin bestätigt. So könnten Hacker auch Zugriff auf die Hardware des iPhones oder iPads bekommen.

Von der Lücke betroffen sind iOS 9.3.3 und frühere Versionen. Apple rät den Nutzern, das Update möglichst schnell auszuführen. Es wird ab sofort verteilt und ist für iPhone 4s und später, iPad 2 und später sowie für den iPod touch der fünften und sechsten Generation erhältlich.


Learn more / En savoir plus / Mehr erfahren:


Gust MEES's insight:
Erst vor knapp zwei Wochen hat Apple iOS 9.3.3 veröffentlicht. Jetzt kommt mit iOS 9.3.4 ein außerplanmäßiges Update, das eine als kritisch eingestufte Sicherheitslücke schließt. Ein Problem in der Speicherverwaltung sorgt dafür, dass eine App beliebigen Code mit Kernel-Rechten ausführen kann, wie Apple im Security-Bulletin bestätigt. So könnten Hacker auch Zugriff auf die Hardware des iPhones oder iPads bekommen.

Von der Lücke betroffen sind iOS 9.3.3 und frühere Versionen. Apple rät den Nutzern, das Update möglichst schnell auszuführen. Es wird ab sofort verteilt und ist für iPhone 4s und später, iPad 2 und später sowie für den iPod touch der fünften und sechsten Generation erhältlich.


Learn more / En savoir plus / Mehr erfahren:



No comment yet.
Rescooped by Gust MEES from 21st Century Learning and Teaching!

Apple to fix iPhones' vulnerability to boobytrapped chargers

Apple to fix iPhones' vulnerability to boobytrapped chargers | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... |
iPhones and iPads will be vulnerable until they get the iOS 7 update, which is scheduled for release later this year. Until then, you might want to avoid plugging into sleazy charging stations, tho...
Gust MEES's insight:


Learn more:


Scooped by Gust MEES!

Airmail : une faille de sécurité donne accès à l'ensemble des mails d'un compte | #Apple #CyberSecurity #NobodyIsPerfect

Airmail : une faille de sécurité donne accès à l'ensemble des mails d'un compte | #Apple #CyberSecurity #NobodyIsPerfect | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... |

Les chercheurs en sécurité de Versprite ont identifié plusieurs failles de sécurité touchant Airmail pour Mac. Ces dernières pourraient compromettre la sécurité d'un compte, laissant un accès libre à la totalité des messages.

Sur un blog, Versprite dévoile en détail la méthode mise en place pour tirer partie des vulnérabilités du logiciel. Pour résumer, l'attaque commence par l'envoi d'un mail comprenant un ou plusieurs liens faisant office de piège, et contenant un schéma URL particulier à Airmail.


Learn more / En savoir plus / Mehr erfahren:


Gust MEES's insight:

Les chercheurs en sécurité de Versprite ont identifié plusieurs failles de sécurité touchant Airmail pour Mac. Ces dernières pourraient compromettre la sécurité d'un compte, laissant un accès libre à la totalité des messages.

Sur un blog, Versprite dévoile en détail la méthode mise en place pour tirer partie des vulnérabilités du logiciel. Pour résumer, l'attaque commence par l'envoi d'un mail comprenant un ou plusieurs liens faisant office de piège, et contenant un schéma URL particulier à Airmail.


Learn more / En savoir plus / Mehr erfahren:


No comment yet.
Scooped by Gust MEES!

Apple fixes 'killer text bomb' vulnerability with new update for iOS, macOS, watchOS, and tvOS | #Updates #NobodyIsPerfect #TeluguCharacter #Vulnerabilities ===> #Quality of #Programming!!

Apple fixes 'killer text bomb' vulnerability with new update for iOS, macOS, watchOS, and tvOS | #Updates #NobodyIsPerfect #TeluguCharacter #Vulnerabilities ===> #Quality of #Programming!! | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... |

Apple released updates on Monday that will protect owners of iPhones, iPads, iMacs, MacBooks, iMac Pros, Apple Watches, and (phew!) Apple TVs from having toerags crash their devices.

The bizarre bug was in how Apple products handled a Unicode symbol representing a letter from the south Indian language of Telugu.

When, for instance, vulnerable versions of iOS displayed the character they would get their knickers in a twist, causing the app to crash.

Fortunately updating Apple operating systems is a pretty painless process.

For instance, on an iMac you just need to open App Store, and select Updates to see what updates are waiting to be installed.


Learn more / En savoir plus / Mehr erfahren:


Gust MEES's insight:

Apple released updates on Monday that will protect owners of iPhones, iPads, iMacs, MacBooks, iMac Pros, Apple Watches, and (phew!) Apple TVs from having toerags crash their devices.

The bizarre bug was in how Apple products handled a Unicode symbol representing a letter from the south Indian language of Telugu.

When, for instance, vulnerable versions of iOS displayed the character they would get their knickers in a twist, causing the app to crash.

Fortunately updating Apple operating systems is a pretty painless process.

For instance, on an iMac you just need to open App Store, and select Updates to see what updates are waiting to be installed.


Learn more / En savoir plus / Mehr erfahren:


No comment yet.
Scooped by Gust MEES!

Une app peut capturer l’écran de votre Mac sans votre consentement | #Apple #CyberSecurity #Awareness #Vulnerabilities 

Une app peut capturer l’écran de votre Mac sans votre consentement | #Apple #CyberSecurity #Awareness #Vulnerabilities  | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... |

Les contraintes imposées par Apple à toutes les apps qui veulent trouver leur place sur le Mac App Store ne suffisent pas à éviter toutes les failles de sécurité, même si cela n’y ressemble pas à première vue. Felix Krause a trouvé un moyen original pour qu’une app puisse récupérer à votre insu tout le contenu affiché sur l’écran de votre Mac, tout en respectant les exigences de sandboxing de la boutique.

Son idée est de faire une capture d’écran de macOS avant d’appliquer un traitement de reconnaissance optique des caractères (OCR) pour y trouver des informations intéressantes. Il peut s’agir des sites que vous visitez, mais aussi de vos identifiants et même de vos mots de passe. Pour cela, il suffit de faire des captures d’écran très régulières et si l’utilisateur affiche un mot de passe dans son gestionnaire, ne serait-ce que brièvement, il sera enregistré et analysé.

Concept développé par Felix Krause, qui récupère effectivement des informations sensibles tout en respectant les conditions de du Mac App Store. Cliquer pour agrandir
La possibilité de prendre une capture d’écran est accessible à n’importe quelle application macOS avec quelques lignes de code seulement. Il n’y a aucune autorisation préalable à obtenir pour que ces lignes soient fonctionnelles et le système n’alerte pas l’utilisateur, par exemple de façon visuelle comme sur iOS. En clair, une app distribuée sur le Mac App Store et respectant toutes les consignes de cloisonnement d’Apple pourrait se transformer en malware qui analyse en permanence ce que vous faites sur votre ordinateur et l’envoie sur un serveur tiers.

Apple a été notifié de cette faille dans la sécurité de macOS et on imagine qu’une future version du système bloquera cette possibilité. Ou au moins, s’assurera que l’utilisateur autorise une app à faire des captures d’écran, en général ou au cas par cas.


Learn more / En savoir plus / Mehr erfahren:


Gust MEES's insight:

Les contraintes imposées par Apple à toutes les apps qui veulent trouver leur place sur le Mac App Store ne suffisent pas à éviter toutes les failles de sécurité, même si cela n’y ressemble pas à première vue. Felix Krause a trouvé un moyen original pour qu’une app puisse récupérer à votre insu tout le contenu affiché sur l’écran de votre Mac, tout en respectant les exigences de sandboxing de la boutique.

Son idée est de faire une capture d’écran de macOS avant d’appliquer un traitement de reconnaissance optique des caractères (OCR) pour y trouver des informations intéressantes. Il peut s’agir des sites que vous visitez, mais aussi de vos identifiants et même de vos mots de passe. Pour cela, il suffit de faire des captures d’écran très régulières et si l’utilisateur affiche un mot de passe dans son gestionnaire, ne serait-ce que brièvement, il sera enregistré et analysé.

Concept développé par Felix Krause, qui récupère effectivement des informations sensibles tout en respectant les conditions de du Mac App Store. Cliquer pour agrandir
La possibilité de prendre une capture d’écran est accessible à n’importe quelle application macOS avec quelques lignes de code seulement. Il n’y a aucune autorisation préalable à obtenir pour que ces lignes soient fonctionnelles et le système n’alerte pas l’utilisateur, par exemple de façon visuelle comme sur iOS. En clair, une app distribuée sur le Mac App Store et respectant toutes les consignes de cloisonnement d’Apple pourrait se transformer en malware qui analyse en permanence ce que vous faites sur votre ordinateur et l’envoie sur un serveur tiers.

Apple a été notifié de cette faille dans la sécurité de macOS et on imagine qu’une future version du système bloquera cette possibilité. Ou au moins, s’assurera que l’utilisateur autorise une app à faire des captures d’écran, en général ou au cas par cas.


Learn more / En savoir plus / Mehr erfahren:


No comment yet.
Scooped by Gust MEES!

iOS 9.3.4 released, fixing critical security hole. Update now | #Apple #Updates #CyberSecurity #NobodyIsPerfect 

iOS 9.3.4 released, fixing critical security hole. Update now | #Apple #Updates #CyberSecurity #NobodyIsPerfect  | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... |

Apple has just released iOS 9.3.4, the latest versions of its mobile operating system for iPhone and iPad users, and owners of the device...


Learn more / En savoir plus / Mehr erfahren:



Gust MEES's insight:

Apple has just released iOS 9.3.4, the latest versions of its mobile operating system for iPhone and iPad users, and owners of the device...


Learn more / En savoir plus / Mehr erfahren:


No comment yet.
Scooped by Gust MEES!

OS X Mountain Lion: Still unsupported and vulnerable

OS X Mountain Lion: Still unsupported and vulnerable | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... |
One month after the release of OS X Mavericks and the disclosure of 48 vulnerabilities in Mountain Lion, Apple has not released any updates to fix these or any other problems in Mountain Lion.
Gust MEES's insight:


Learn more: