Säkerhetsbrist i Apples systemkretsar – kan läcka lösenord och annat

2023-10-26 20:04

Melding Plague

Registrerad: Dec 1999

●

Säkerhetsbrist i Apples systemkretsar – kan läcka lösenord och annat

Säkerhetsforskare har upptäckt ”ileakage”, en säkerhetsbrist i Apples A- och M-kretsar som utnyttjar spekulativ exekvering.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Rapportera Redigera

Citera flera Citera

2023-10-26 20:16

Permalänk

medbor

Medlem ★

Like-magnet

Registrerad: Okt 2011

●

Skrivet av evil penguin:

https://ileakage.com/

"We present iLeakage, a transient execution side channel targeting the Safari web browser present on Macs, iPads and iPhones. iLeakage shows that the Spectre attack is still relevant and exploitable, even after nearly 6 years of effort to mitigate it since its discovery. We show how an attacker can induce Safari to render an arbitrary webpage, subsequently recovering sensitive information present within it using speculative execution. In particular, we demonstrate how Safari allows a malicious webpage to recover secrets from popular high-value targets, such as Gmail inbox content. Finally, we demonstrate the recovery of passwords, in case these are autofilled by credential managers."

Gå till inlägget

Cred till elaka pingvinen som postade i swekerhetstråden

Denna verkar ju vara en av Spectres kusiner och drabbar mycket

Rapportera Redigera

Citera flera Citera (9)

2023-10-26 20:26

Permalänk

DasIch

Medlem ★

Plats: Stockholm
Registrerad: Aug 2001

●

Är spekulativ exekvering säkerhetsforskarnas nya favoritleksak? Verkar som allt som har med spekulativ exekvering att göra går att använda som säkerhetshål, och forskarna jobbar bara på nästa grej att applicera det på.

Rapportera Redigera

Citera flera Citera (6)

2023-10-26 20:37

Permalänk

Ase

Medlem

Plats: Sundsvall
Registrerad: Okt 2003

●

härligt

Visa signatur

Arne Berg

Rapportera Redigera

Citera flera Citera

2023-10-26 21:02

Permalänk

evil penguin

Medlem ★

Registrerad: Apr 2002

●

Skrivet av DasIch:

Är spekulativ exekvering säkerhetsforskarnas nya favoritleksak? Verkar som allt som har med spekulativ exekvering att göra går att använda som säkerhetshål, och forskarna jobbar bara på nästa grej att applicera det på.

Gå till inlägget

Lite så är det ju.

Inte för alla säkerhetsforskare förstås, men det första konstaterandet av den här kategorin av "sidokanaler" öppnade ju ett helt nytt forskningsfält, i princip.

Så det blev ju lite att man öppnade Pandoras maskburk...

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Rapportera Redigera

Citera flera Citera (2)

2023-10-26 21:16

Permalänk

lillaankan_i_dammen

Medlem ★

Registrerad: Nov 2019

●

Skrivet av evil penguin:

Lite så är det ju.

Inte för alla säkerhetsforskare förstås, men det första konstaterandet av den här kategorin av "sidokanaler" öppnade ju ett helt nytt forskningsfält, i princip.

Så det blev ju lite att man öppnade Pandoras maskburk...

Gå till inlägget

Jag tror mycket på det magiska ordet pengar.

Förr, så kunde nördar/geeks offra sin egen fritid för att hitta olika säkerhetshål och de fick inte mycket för detta även om de hittade något. Idag finns det folk som får ägna sin betalda arbetstid på att göra detsamma, vi pratar till och med om universitet som finansierar det.
*edit*
Min poäng är att fler säkerhetshål lär hittas för alla kretsar, speciellt när så många kan leta efter dessa på betalt arbetstid.

Senast redigerat 2023-10-26 21:24

Rapportera Redigera

Citera flera Citera (1)

2023-10-26 21:26

Permalänk

TurboMast

Medlem

Plats: Mjölby
Registrerad: Jan 2019

●

Väl att någon utan onda avsikter hittar det och publicerar. Finns såklart möjligheten att svagheten redan upptäckts på annat håll och är i användning.

Rapportera Redigera

Citera flera Citera

2023-10-26 22:52

Permalänk

GuessWho

Medlem ★

Plats: Västkusten
Registrerad: Aug 2010

●

Är samtliga iPhones påverkade?
Eller vilka generationer av iPhone är påverkade?

Rapportera Redigera

Citera flera Citera

2023-10-26 22:59

Permalänk

improwise

Medlem ★

Registrerad: Apr 2006

●

Skulle inte spekulativ exekvering även kunna sammanfatta Aftonbladet rätt väl?

Rapportera Redigera

Citera flera Citera (7)

2023-10-26 23:54

Permalänk

Dyluck

Medlem ★

Registrerad: Nov 2001

●

Är inte PACMAN som hittades förra året i M1 samma klass av problem? https://www.tomshardware.com/news/mit-finds-vulnerability-in-...

Har för mig att en Asahi Linux utvecklare hittade något annat problem med M1 som gjorde dom kunde läsa allt minne.

Rapportera Redigera

Citera flera Citera

2023-10-27 02:56

Permalänk

NoSubstitute

Medlem

Plats: Malmö
Registrerad: Jan 2010

●

Detta är patchat i senaste iOS och macOS.

"To mitigate our work, Apple has just released iOS 17.1, iPadOS 17.1, and macOS Sonoma 14.1. Update your devices now!"

Rapportera Redigera

Citera flera Citera (4)

2023-10-27 08:17

Permalänk

first

Avstängd

Registrerad: Jun 2017

●

Man måste vara kvar i fem minuter för att det ska läcka? Då är man säker när man kollar porr iaf.

Rapportera Redigera

Citera flera Citera (9)

2023-10-27 09:28

Permalänk

evil penguin

Medlem ★

Registrerad: Apr 2002

●

Skrivet av NoSubstitute:

Detta är patchat i senaste iOS och macOS.

"To mitigate our work, Apple has just released iOS 17.1, iPadOS 17.1, and macOS Sonoma 14.1. Update your devices now!"

Gå till inlägget

Stämmer detta verkligen? Ser ingenting som verkar passa in i Apples lista om vilka säkerhetsfixar som ingår i uppdateringen och det verkar bara stå samma som tidigare på ileakage-sajten?

Edit: nej, det verkar ha varit ren förvirring att denna uppdatering gör något i sammanhanget och den texten togs bort när det framkommit att det var fel: https://github.com/ileakage-authors/ileakage-authors.github.i...

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Rapportera Redigera

Citera flera Citera (3)

2023-10-27 22:28

Permalänk

Pirum

Medlem

Plats: Västra Götaland
Registrerad: Okt 2010

●

Hm. Med tanke på alla buggar och exploits som hittas på Macar är det förvånansvärt få problem vad det verkar, för gemene man alltså. Läser man exempelvis https://support.apple.com/sv-se/HT201222 , och ser vad de patchat till min dator med MacOS 12, och även 13, 14 är patchade, så undrar man ju vad som händer om man kör Big Sur (MacOS 11), eller Mojave (10.14) (senaste MacOS med stöd för 32-bit-appar) och alltså inte längre får säkerhetsuppdateringar. Jag tycker MacOS är dåligt på att meddela när OS nått EOL gällande säkerhetsuppdateringar.

Visa signatur

ASUS P8Z68-v Pro i7 2600K@4.5, 32GB RAM, RX 580, 4K Samsung u24e590, Intel SSD, Seagate SSHD, LG BH16NS55 BD/RW, MacOS Monterey, Win 10+11, Linux Mint

Macbook Pro 2009, 8GB RAM, SSD, MacOS Catalina + Windows 7

Rapportera Redigera

Citera flera Citera (1)

Säkerhetsbrist i Apples systemkretsar – kan läcka lösenord och annat

Säkerhetsbrist i Apples systemkretsar – kan läcka lösenord och annat

Externa nyheter

Spelnyheter från FZ