Ungepatchte MacOS X Lücken - wird MacOS X zum Secrity Nightmare?

[defa]

Hi!

Ich habe hier bisher noch nichts dazu gelesen - ehrlich gesagt nervt mich das Thema aber immens und zwar seit geraumer Zeit.

Konkret betrifft das dass Verhalten von Apple in anbetracht der aktuellen Sicherheitslage von Mac OS.

Derzeit sind mehrere gravierende Sicherheitslücken bekannt die von Apple noch nicht gefixed wurden. Das betrifft z.B. 6 Lücken in diversen Grafik Funktionen die Tom Ferris am 21.4.2006 released hat (http://secunia.com/advisories/19686/), sowie eine Safari Lücke (http://www.securityfocus.com/bid/17674).

Um es mal vereinfacht zu sagen, sind das genau die Art von Lücken die bei Windows PC's dazu geführt haben das die heute als Zombie-Rechner in Botnetzen fungieren. Und besonders für die neuen Intel Macs können HackerInnen auf die Erfahrungen mit Windows zurückgreifen - und extrem einfach Schadcode entwickeln. Dies ist auch schon passiert - siehe hier.

Im Klartext heißt das - ich Besuche eine Seite mit Safari und es installiert sich irgendwelcher Code ohne das ich irgendetwas dummes machen muss (Windows + IE lassen gruessen).

Apple scheint seit 3 Wochen!!! nicht in der Lage dieses Problem zu beheben und warnt nicht mal seine Nutzer davor.

Was is los Apple? Appel aufm Kopp? Ich frag mich wirklich was dass soll - gerade nach dem Wechsel auf eine andere Rechnerarchitektur sollte Apple daran gelegen sein das Vertrauen der User zu behalten...

Was denkt ihr?

bye
defa

 

[Mortiis]

Ave,

Was soll die Panikmache!! Ich kenne kein Sytem, was 100% sicher ist!
Vor allen ist Dir mal was in den letzten Jahren aufgefallen? In den 90ziger Jahren war es ein Volkssport für Hacker, auf die Seiten und Server von Pentacon, CIA und FBI in den USA sich rein zu hacken, nur irgendwie passiert die letzten Jahre in dem Fall nichts mehr und dies nicht, weil die Hacker keinen Bock mehr haben, sondern man hat diese Seiten und Server mit Mac - Hard- und Software ausgerüste, wo vorher Windows NT Rechner und Server standen.
Schau einfach mal auf diese Seite, da kannst Du gern überprüfen wie sicher Dein System ist, kannst dann das Gleiche mit einen Windows-Rechner durchführen mit IE als Browser und eingeschalteten ActivX.

Viel Spaß!

Mortiis

 

[FFM_Heini]

Apple scheint seit 3 Wochen!!! nicht in der Lage dieses Problem zu beheben und warnt nicht mal seine Nutzer davor.

Das ist normal - Apples Security-Politik ist "Security By Obscurity" (Also Klappe halten und hoffe, dass es keiner merkt) und laut letzten Studien braucht Apple 91 Tage für ein BugFix... Also alles noch im Rahmen - keine Angst

 

[defa]

Danke Mortiis - aber die Seite testet nicht auf aktuelle Lücken.

Das ist auch keine Panikmache - Micosoft stellt seine Patches deutlich schneller zur Verfügung. Ich mache auch niemandem einen Vorwurf das es die Lücken gibt - mich nervt aber extrem das es keine Patches gibt und ich seit 3 Wochen mit einem System surfen muss auf welchem mir unbemerkt irgendwelcher Schrott untergejubelt werden könnte.

Und aus Hacker sicht ist der Mac mehr als attraktiv: Es gibt nur sehr geringe Hardware abweichungen - das OS ist überall gleich und meistens gepatched - eine Monokultur - der Traum jedes Wurmes.

Mir ist auch aufgefallen das es schon einen Thread dazu gibt - evtl lieber den nutzen.

https://www.macuser.de/threads/kritische-sicherheitsluecken-in-mac-os-x.167231/

bye
defa

 

[Lynhirr]

Wie sagt der Kölner: "Et is noch immer jot jegange!" - und in meinen 20 Jahren bei Apple war es so.

Achtung, Humor!

 

[Mortiis]

Danke Mortiis - aber die Seite testet nicht auf aktuelle Lücken.

Das ist auch keine Panikmache - Micosoft stellt seine Patches deutlich schneller zur Verfügung. Ich mache auch niemandem einen Vorwurf das es die Lücken gibt - mich nervt aber extrem das es keine Patches gibt und ich seit 3 Wochen mit einem System surfen muss auf welchem mir unbemerkt irgendwelcher Schrott untergejubelt werden könnte.

Und aus Hacker sicht ist der Mac mehr als attraktiv: Es gibt nur sehr geringe Hardware abweichungen - das OS ist überall gleich und meistens gepatched - eine Monokultur - der Traum jedes Wurmes.

Mir ist auch aufgefallen das es schon einen Thread dazu gibt - evtl lieber den nutzen.

https://www.macuser.de/forum/showthread.php?t=167231

bye
defa

Da frage ich mich allen ernstes, auf welche Seiten Du so surfst, oder mit welchen Leuten Du so kommunizerst, dass Dein Rechner für Dich ein Sicherheitsrisiko darstellt? Denn auf normalen Seiten kann dies nicht so der Fall sein, sei denn man schachert auf irgendwelchen zwielichtigen Ecken im Internet rum oder man hat so sensible Daten auf seiner Festplatte, die ein Inferno hervorrufen können, wenn diese in die falschen Hände geraten, wie an den Irren G.W.Bush oder der nassen Ratte aus Iran.

Mortiis

 

[haeckmac]

Na also Mortiis du hast ja vielleicht ne eigenartige Vorstellung von Sicherheit. Wenn ich ein System benutze, dann möchte schon das Gefühl haben (und im Ideal Fall wissen), dass es "sicher" ist. Man muss nicht unbedingt in den "düsteren" Ecken es Netzes surfen damit es einen erwischt. Es reicht doch schon, dass ich ein blog eines Freundes o.ä. regelmäßig besuche, dieser wird gehackt und schon erwischt es mich auch.
So wie du es eben dargelegt hast klingt es fast so als sind die Leute die Nachts draußen rumlaufen und dann überfallen werden selbst schuld.

gruss haeckmac

 

[Mortiis]

Na also Mortiis du hast ja vielleicht ne eigenartige Vorstellung von Sicherheit. Wenn ich ein System benutze, dann möchte schon das Gefühl haben (und im Ideal Fall wissen), dass es "sicher" ist. Man muss nicht unbedingt in den "düsteren" Ecken es Netzes surfen damit es einen erwischt. Es reicht doch schon, dass ich ein blog eines Freundes o.ä. regelmäßig besuche, dieser wird gehackt und schon erwischt es mich auch.
So wie du es eben dargelegt hast klingt es fast so als sind die Leute die Nachts draußen rumlaufen und dann überfallen werden selbst schuld.

gruss haeckmac

Ich arbeite schon einige Zeit mit Apple-Hardware (ca.10 Jahre) und muß ehrlich zugeben, dass ich auch schon desöffteren auch auf zwielichtigen Seiten rumgesurft bin, aber meine Rechner haben für mich nie ein Sicherheitsrisiko dargestellt und ich gehe auch nicht mit diesen Gefühl ins Internet, da hätte ich bei Windows-PCs schon eher Bedenken.
Man sollte immer die Kirche im Dorf lassen.

Mortiis

 

[DickUndDa]

Da frage ich mich allen ernstes, auf welche Seiten Du so surfst, oder mit welchen Leuten Du so kommunizerst, dass Dein Rechner für Dich ein Sicherheitsrisiko darstellt? Denn auf normalen Seiten kann dies nicht so der Fall sein, sei denn man schachert auf irgendwelchen zwielichtigen Ecken im Internet rum oder man hat so sensible Daten auf seiner Festplatte, die ein Inferno hervorrufen können, wenn diese in die falschen Hände geraten, wie an den Irren G.W.Bush oder der nassen Ratte aus Iran.

Mortiis

Ja man. Du weißt was abgeht! *kopf schüttel*

Dass es bisher gut gegangen ist heißt nicht dass es in Zukunft nicht mal anders laufen könnte. Man sollte sich deswegen keine alzu großen Sorgen machen - aber ganz aus den Augen sollte man das Thema auch nicht verlieren.

Dass hier immer so eine Protestwelle aufkommt wenn auf Probleme bei Apple hingewiesen wird kann ich beim besten Willen nicht verstehen. Das sieht für mich Stark nach der Kopf-in-den-Sand-steck-Methode aus.

 

[Lynhirr]

Man sollte immer die Kirche im Dorf lassen.

Mortiis

Dazu auch dieser Artikel.

Quelle: macnews.de

 

[Lynhirr]

Dass hier immer so eine Protestwelle aufkommt, wenn auf Probleme bei Apple hingewiesen, wird kann ich beim besten Willen nicht verstehen. Das sieht für mich Stark nach der Kopf-in-den-Sand-steck-Methode aus.

Was mich persönlich angeht, so lese ich alle News aufmerksam. Auf der anderen Seite hat es Apple aber bisher verstanden, sein BS recht sicher zu machen, wie die Vergangenheit zeigt. Darauf vertraue ich schon.

 

[haeckmac]

Ich arbeite schon einige Zeit mit Apple-Hardware (ca.10 Jahre) und muß ehrlich zugeben, dass ich auch schon desöffteren auch auf zwielichtigen Seiten rumgesurft bin, aber meine Rechner haben für mich nie ein Sicherheitsrisiko dargestellt und ich gehe auch nicht mit diesen Gefühl ins Internet, da hätte ich bei Windows-PCs schon eher Bedenken.
Man sollte immer die Kirche im Dorf lassen.

Mortiis

Ja mir ging es ja auch nicht um einen Vergleich Win || Linux || Mac sondern um die Darlegung der Geschichte. Klang für mich so als gibst du NUR dem User die Schuld wenn er sich im Web was "einfängt", aber wenn du willst diskutieren wir das bei nem Bierchen aus (sehe du bist/kommst aus DD?) .

gruss haeckmac

P.S.: zu Mac Sicherheit hab ich auch schon in dem anderen Thread den Link gepostet. http://chaosradio.ccc.de/archive/chaosradio_express_020.mp3
Für einige vielleicht ganz interessant.

 

[bernie313]

Durchschnittlich braucht Apple 91 Tage, haben also noch ein bischen Zeit und @Defa die Jungs bei MS brauchen durchschnittlich 134 Tage für Ihre Patches, leider kommen die Patches so häufig, da fast täglich neue Lücken sich auftun, aber die Lücke die Sie heute finden ist dann in etwas mehr als 4 Monaten gefixt.Soviel zu die Patches kommen schneller.

 

[no_n@me]

Warum eigentlich immer dieses arrogante "Ich hab 'nen Mac, mir kann nichts passieren, ich brauche keinen Virenscanner, niemals nicht, blabla..."?
Und warum wird es hingenommen, daß Apple so rumtrödelt? Warum ist es ok, daß die neuen MBPs lauter Macken haben? Wie kann es sein, daß der Benutzer selbst sein MBP auseinanderbauen und dran rumwerkeln muß, weil's sonst zu heißt wird (oder was auch immer)?
Genauso das ständige "Gibt's nicht, braucht mal also nicht - wenn du's willst, geh doch zurück zum böööösen Windows", wenn mal jemand nach etwas fragt, das es für OS X einfach nicht gibt...

 

[Mortiis]

Ja mir ging es ja auch nicht um einen Vergleich Win || Linux || Mac sondern um die Darlegung der Geschichte. Klang für mich so als gibst du NUR dem User die Schuld wenn er sich im Web was "einfängt", aber wenn du willst diskutieren wir das bei nem Bierchen aus (sehe du bist/kommst aus DD?) .

gruss haeckmac

P.S.: zu Mac Sicherheit hab ich auch schon in dem anderen Thread den Link gepostet. http://chaosradio.ccc.de/archive/chaosradio_express_020.mp3
Für einige vielleicht ganz interessant.

Können wir gerne machen, bin aber erst am 24.Mai wieder in DD (bin bis dahin auch nicht online!) und Zeit dafür finden wir mit Sicherheit.

Ich möchte ja nicht behaupten, der Mac als solches ist unangreifbar, vor allen wenn man sich mit UNIX auskennt, findet man jede Menge Ecken und Kanten, die man anmeckern könnte. Es ist aber immer noch so, dass der User der vor dem Rechner sitzt immernoch das eigentliche Sicherheitsrisiko darstellt. Man kann Sicherheitsprobleme ansprechen, aber gleich daraus ein Risiko zu machen, find ich dann schon in Richtung "Panikmache".

Meiner Meinung her, ist Vorbeugen und Schützen in einem Zug immer mit einander zu nennen. Und wenn man sich nur einfach den Bericht anschaut, wie man zu den ersten so genannten Mac-Trojaner/Virus gekommen ist. Dann wird auch klar, wie viele User zu ihren Tierchen gekommen sind, wenn man sich allen möglichen Mist runterläd und sich dann wundert wenn der Rechner spinnt.

Mortiis

 

[defa]

Ich wollte auch keine Panik machen, aber ich denke es ist ein prinzipielles Problem.

Alle Security-Sites etc. die sich mit dem Thema befassen stimmten überein das Apple Rechner wegen wachsendem Markt Anteil und dem Switch auf Intel in Zukunft ein wesentlich attraktiveres Ziel für Viren, Bots etc. werden. Diese Argumentation halte ich für sehr schlüssig.

Da Problem seitens der Apple User ist sicher auch ein kognitives - man ist es als Apple User nicht gewohnt mit Sicherheitsproblemen konfrontiert zu sein - und rechnet dementsprechend auch nicht - das dürfte es potentiellen Eindringlingen noch leichter machen.

Ich sehe hier weder den Weltuntergang noch das Ende von Apple. Ich finde jedoch das sich Apple völlig dämlich verhält - Sie könnten genau jetzt zeigen das Apple seinem Ruf auch nach dem Intel Switch treu bleibt - dass Gegenteil scheint jedoch der Fall zu sein.

Ich finde das Verhalten - nennen wir es mal harmlos - schlicht unsensibel.

Des weiteren befürchte ich - das wenn sich dieser Kurs nicht ändert - es längerfristig tatsächlich zu einer Ver-Windowsung von MacOS X kommt was die Security angeht.

Das Argument der User sei verantwortlich ist falsch. Botnet Betreiber sind inzwischen dazu übergangen z.B. gezielt Server zu attackieren die Bannerwerbung hosten. Damit haben sich z.B. bei dem letzten Windows-GIF Bug tausende Rechner in Zombies verwandelt - es gibt Gerüchte das davon auch wirklich wirklich grosse und seriöse Seiten betroffen waren.

bye
defa

 

[avalon]

Das ist auch keine Panikmache - Micosoft stellt seine Patches deutlich schneller zur Verfügung.

Dafür müssen sie auch immer wieder neu nachlegen, weil sie zwar schnell, aber nicht gründlich waren.

Außerdem stimmt die Behauptung nicht!


Brian Krebs bei der Washingtonpost hat die letzten Monate die Geschwindigkeit von Apple, Microsoft und Mozilla beim Schließen von Sicherheitslücken analysiert. Demnach kam Apple in den letzten zwei Jahren auf einen Zeitraum von durchschnittlich 91 Tagen von Bekanntwerden der Sicherheitslücken bis zu deren Schließung. Microsoft benötigte dagegen in den vergangene zwei Jahren durchschnittlich 134 Tage zur Schließung von Sicherheitslücken.

Quelle: http://www.mactechnews.de/index.php?id=13133

 

[sECuRE]

Hi,

sondern man hat diese Seiten und Server mit Mac - Hard- und Software ausgerüste, wo vorher Windows NT Rechner und Server standen.

Also das glaube ich nicht, wenn du dafür Quellen hast, immer her damit. Ich denke eher, dass dort nun Leute angestellt sind, die wissen, wie sie ein Netz absichern und dass dort Hardwarefirewalls stehen, die ihr Geld wert sind.

Warum eigentlich immer dieses arrogante "Ich hab 'nen Mac, mir kann nichts passieren, ich brauche keinen Virenscanner, niemals nicht, blabla..."?

Weil es effektiv noch keinen Virus für Mac OS X gab? Warum das dann gleich arrogant ist, weiß ich nicht.

Und warum wird es hingenommen, daß Apple so rumtrödelt? Warum ist es ok, daß die neuen MBPs lauter Macken haben? Wie kann es sein, daß der Benutzer selbst sein MBP auseinanderbauen und dran rumwerkeln muß, weil's sonst zu heißt wird (oder was auch immer)?

Gegenfrage: Was soll man bitte dagegen tun? Leute, die sich beschweren, gibt es sicher genug, der Rest liegt an Apple.

Genauso das ständige "Gibt's nicht, braucht mal also nicht - wenn du's willst, geh doch zurück zum böööösen Windows", wenn mal jemand nach etwas fragt, das es für OS X einfach nicht gibt...

Versteh' ich auch nicht. Wenn es etwas für OS X nicht gibt, musst du es selbst programmieren, wenn du das kannst, oder eben Windows, Linux oder <Beliebiges OS, unter dem gefragte Software XY läuft> einsetzen, so ist das doch?! Was ist daran bitte unsinnig?!

cu

 

[FFM_Heini]

Weil es effektiv noch keinen Virus für Mac OS X gab?

Nuja geben tut es schon recht viel - nur verbreiten können die sich wegen dem geringen Marktanteil halt nicht so dolle

 

[bernie313]

Nenn mir mehr als 2, die in freier Wildbahn wildern und Schnupfen verursachen.