Apple har opdateret macOS, iOS og Safari. De nye versioner skal begrænse risikoen for, at Spectre kan udnyttes. Det drejer sig om sårbarhederne CVE-2017-5753 og CVE-2017-5715.
De opdaterede versioner er macOS High Sierra 10.13.2 Supplemental Update, iOS 11.2.2 og Safari 11.0.2.
Spectre er et par sårbarheder, der findes i processorer fra flere producenter. Det kræver en opdatering af hardwaren at fjerne dem, men man kan via software mindske risikoen for, at de kan udnyttes.
Apple har lukket sikkerhedshullet KRACK (Key Reinstallation Attacks) i firmaets AirPort-systemer. Det sker med to firmware-opdateringer, en AirPort Base Station Firmware Update 7.6.9 og 7.7.9.
Firmaets HomeKit har også en sårbarhed. Den lader angribere kontrollere dørlåse, garagedøre, termostater og andre systemer, som HomeKit styrer.
Hullet lukket med iOS 11.2.1 og tvOS 11.2.1.
Endelig er der lukket seks sikkerhedshuller i iCloud for Windows med version 7.2.
Det sikkerhedshul der lod angribere logge ind på macOS som root uden password, er nu endeligt lukket. Det sker med macOS High Sierra 10.13.2, Security Update 2017-002 Sierra og Security Update 2017-005 El Capitan. Opdateringen lukker i alt 22 sikkerhedshuller i styresystemet til Mac-computere.
Styresystemet iOS til iPhone, iPad og iPod er opdateret til version 11.2. Den fjerner 14 sårbarheder.
Styresystemet til Apple Watch er opdateret til watchOS 4.2. Det lukker 10 sikkerhedshuller.
Apple TV-styresystemet tvOS er opdateret til version 11.2, der lukker 10 huller.
Apple har udsendt Security Update 2017-001 til macOS High Sierra 10.13 og macOS High Sierra 10.13.1.
Opdateringen fjerner en sårbarhed, der lader angribere logge ind som root (med administratorprivilegier) uden at angive et password.
Sårbarheden kan udnyttes af angribere med fysisk adgang til Mac'en, samt hvis de har fjernadgang.
Nogle brugere har oplevet, at fildeling ikke virkede, efter de installerede opdateringen. Apple oplyser, at problemet kan løses med en enkelt kommando.
En fejl i macOS 10.13 High Sierra gør det muligt at logge ind som root (systemadministrator) uden password. Det kan ske fra login-skærmen.
Angriberen skal indtaste "root" som bruger, lade password-feltet være tomt, taste Enter og derefter klikke et par gange på knappen "Unlock". Derefter er man logget ind som root med fuld kontrol over maskinen.
En angriber skal have fysisk adgang eller fjernadgang til Mac'en for at kunne udnytte sårbarheden.
Apple arbejder på en softwareopdatering, der skal løse problemet.
Konkurrencen Mobile Pwn2Own foregik i denne uge i Tokyo, Japan. Sikkerhedsforskere kappedes om at knække sikkerheden på smartphones.
Flere af deltagerne havde held med at afvikle skadelig programkode på enhederne.
Et hold fra firmaet 360 Security fik Samsung Internet Browser på en Samsung Galaxy S8 til at køre kode. Via en sårbarhed i en Samsung-app fik de den skadelige kode til at køre videre efter en genstart.
Tencent Keen Security Lab udnyttede fire sårbarheder til at afvikle kode og få øgede privilegier på en iPhone 7 med den nyeste version af iOS.
Macintosh-brugere får lukket 147 sikkerhedshuller i den seneste version af macOS og de to foregående versioner. Det sker med macOS 10.13.1 High Sierra, Security Update 2017-001 Sierra og Security Update 2017-004 El Capitan.
De fleste sårbarheder findes i tcpdump, der er opdateret til version 4.9.2. Det skulle fjerne 90 sårbarheder.
Endvidere lukker opdateringerne sikkerhedshullerne kendt som KRACK (Key Reinstallation Attacks).
Styresystemet iOS til iPhone, iPad og iPod lukker 20 huller med version 11.1.
Apple-analytiker Rene Ritchie skriver, at Apple har lukket sikkerhedshullet KRACK (Key Reinstallation Attacks) i kommende versioner af iOS, watchOS, tvOS og macOS.
Rettelserne findes i betaversioner, som softwareudviklere har adgang til. De vil senere blive udsendt generelt.
IOS er ikke så sårbar over for KRACK på grund af den måde, WPA2 er implementeret på.
Apple har udsendt macOS High Sierra 10.13 Supplemental Update. Den ekstraordinære opdatering skyldes, at en sikkerhedsforsker har fundet et alvorligt hul i beskyttelsen af krypterede APFS-diske.
Sårbarheden gør det muligt at se det password, der skal indtastes for at få adgang til den krypterede disk.
Opdateringen lukker endvidere et sikkerhedshul, der lader skadelige applikationer få fat i passwords lagret i keychain.
Når man henter macOS High Sierra 10.13, er den udstyret med sikkerhedsopdateringen.
MacOS High Sierra 10.13 lukker 43 sikkerhedshuller i styresystemet. Samtidig har Apple udsendt macOS Server 5.4, der lukker to sikkerhedshuller i FreeRADIUS-modulet.
Endvidere har Apple lukket 22 sikkerhedshuller med iCloud for Windows 7.0.
