die Abwärtskompatibilität bei Apple

[Madcat]

Echt, tut mir leid, da kann ich nur lachen.
Beschäftige dich mal mit dem Thema "arbitrary code execution".
Alleine in Safari 6 sind zwei Lücken gefixt, die in Safari 5.1.7 offen sind.

Und welche Lücken sind das? Welcher Exploit nutzt sie? Nenn mal Fakten. So werd ich nicht weiter diskutieren, ist sinnfrei mit dir.
Schon zu PPC-Zeiten gabs Proof-of-concepts für Viren unter Mac OS X, bis heute sind die Dinger an einer Hand abzählbar und sie erfordern das Mitwirken des Users.

 

[snoop69]

Und welche Lücken sind das? Welcher Exploit nutzt sie?

Eigentlich sollten bekannte Lücken gefixt werden bevor es einen Exploit gibt....

 

[zuckerfee]

ist ja unglaublich, kaum ist man mal auf Arbeit, sind schon wieder 15 Seiten geschrieben

Jeder Buchstabe Deines Postings schreit "ich bin die Kernzielgruppe von Windows".

als erstes JeZe: Ich bin keine Ziel"Gruppe". Ich kaufe meine Rechner (und ich habe mehrere mit unterschiedlichen Betriebssystemen) für einen bestimmten Zweck! Und ich WEISS, dass KEIN System unangreifbar ist. Weder Unix, noch Linux, noch Windows, noch OSX. Es werden immer Sicherheitslücken bestehen, schon weil kein Mensch weiss, wie man (rein theoretisch) fehlerfreie Programme schreiben kann. Ein Fix der bekannt gewordenen Sicherheitslücken ist für einen Rechner, der mit dem Internet verbunden ist, notwendig (Jeder Rechner im Internet ist im Prinzip ein "Opferrechner").

Von welchen Sicherheitsupdates sprichst Du eigentlich, die ML jetzt haben soll?

Ich habe mich eventuell ungenau ausgedrückt, ich meinte die Sicherheitsupdates von SL

Was Du verschweigst ist doch, dass Lion auf Deinem System läuft und supportet wird.

Wenn wir schon bei Windows-Vergleichen sind, dann ist für mich Lion so etwas wie Windows-Vista, ich will es nicht haben. Und stell dir vor, bei Windows habe ich sogar die Wahl.

Tu dir selbst einen gefallen und installiere Windows 7 auf Deinem Mac mini und werde wieder glücklich.

Um glücklich zu sein, benötige ich keinen Rechner.
Als zweites JeZe: wenn es möglich ist, ein reines Win 7 64Bit mit ausschließlich 64-bit-Treibern auf meine Mini zu installieren, dann ist das auch für ML möglich. Und wenn es nicht geht, dann weil Apple es so WILL.
Es mag ja Menschen geben, die sich neue Computer kaufen, weil andere es so wollen. Ich gehöre nicht dazu. Und mir gefällt es nicht, dass das versucht wird.

 

[Madcat]

Eigentlich sollten bekannte Lücken gefixt werden bevor es einen Exploit gibt....

maba_de scheint ja zwei zu kennen, deshalb frag ich ja mal nach.

 

[in2itiv]

Genau meine Meinung.... ich fühle mich mit 10.4.11 auf PPC vollkommen sicher, da ich davon ausgehe, dass mit sehr hoher Wahrscheinlichkeit (99,99999 %) neue Schadsoftware INTEL-only ist...

...das ist ein großer Irrtum!

..den sicherheitslücken in Safari, Quicktime und plugins wie Flash ist es egal auf welcher Plattform .... und es gilt: je älter, desto unsicherer.

 

[snoop69]

maba_de scheint ja zwei zu kennen, deshalb frag ich ja mal nach.

Die Bugfixes, die Safari 6 bringt, sind nicht so schwer zu finden... Klick!

Und dann einfach mal nach "arbitrary" suchen....

 

[maba_de]

maba_de scheint ja zwei zu kennen, deshalb frag ich ja mal nach.

zum Beispiel hier ein "paar" aus Webkit, die in Safari 6 gefixt wurden:

WebKit

Available for: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impact: Visiting a maliciously crafted website may lead to an unexpected application termination or arbitrary code execution

Description: Multiple memory corruption issues existed in WebKit. These issues are addressed through improved memory handling.

CVE-ID

CVE-2011-3016 : miaubiz
CVE-2011-3021 : Arthur Gerkis
CVE-2011-3027 : miaubiz
CVE-2011-3032 : Arthur Gerkis
CVE-2011-3034 : Arthur Gerkis
CVE-2011-3035 : wushi of team 509 working with iDefense VCP, Arthur Gerkis
CVE-2011-3036 : miaubiz
CVE-2011-3037 : miaubiz
CVE-2011-3038 : miaubiz
CVE-2011-3039 : miaubiz
CVE-2011-3040 : miaubiz
CVE-2011-3041 : miaubiz
CVE-2011-3042 : miaubiz
CVE-2011-3043 : miaubiz
CVE-2011-3044 : Arthur Gerkis
CVE-2011-3050 : miaubiz
CVE-2011-3053 : miaubiz
CVE-2011-3059 : Arthur Gerkis
CVE-2011-3060 : miaubiz
CVE-2011-3064 : Atte Kettunen of OUSPG
CVE-2011-3068 : miaubiz
CVE-2011-3069 : miaubiz
CVE-2011-3071 : pa_kt working with HP's Zero Day Initiative
CVE-2011-3073 : Arthur Gerkis
CVE-2011-3074 : Slawomir Blazek
CVE-2011-3075 : miaubiz
CVE-2011-3076 : miaubiz
CVE-2011-3078 : Martin Barbella of the Google Chrome Security Team
CVE-2011-3081 : miaubiz
CVE-2011-3086 : Arthur Gerkis
CVE-2011-3089 : Skylined of the Google Chrome Security Team, miaubiz
CVE-2011-3090 : Arthur Gerkis
CVE-2011-3913 : Arthur Gerkis
CVE-2011-3924 : Arthur Gerkis
CVE-2011-3926 : Arthur Gerkis
CVE-2011-3958 : miaubiz
CVE-2011-3966 : Aki Helin of OUSPG
CVE-2011-3968 : Arthur Gerkis
CVE-2011-3969 : Arthur Gerkis
CVE-2011-3971 : Arthur Gerkis
CVE-2012-0682 : Apple Product Security
CVE-2012-0683 : Dave Mandelin of Mozilla
CVE-2012-1520 : Martin Barbella of the Google Chrome Security Team using AddressSanitizer, Jose A. Vazquez of spa-s3c.blogspot.com working with iDefense VCP
CVE-2012-1521 : Skylined of the Google Chrome Security Team, Jose A. Vazquez of spa-s3c.blogspot.com working with iDefense VCP
CVE-2012-3589 : Dave Mandelin of Mozilla
CVE-2012-3590 : Apple Product Security
CVE-2012-3591 : Apple Product Security
CVE-2012-3592 : Apple Product Security
CVE-2012-3593 : Apple Product Security
CVE-2012-3594 : miaubiz
CVE-2012-3595 : Martin Barbella of Google Chrome Security
CVE-2012-3596 : Skylined of the Google Chrome Security Team
CVE-2012-3597 : Abhishek Arya of Google Chrome Security Team using AddressSanitizer
CVE-2012-3599 : Abhishek Arya of Google Chrome Security Team using AddressSanitizer
CVE-2012-3600 : David Levin of the Chromium development community
CVE-2012-3603 : Apple Product Security
CVE-2012-3604 : Skylined of the Google Chrome Security Team
CVE-2012-3605 : Cris Neckar of the Google Chrome Security team
CVE-2012-3608 : Skylined of the Google Chrome Security Team
CVE-2012-3609 : Skylined of the Google Chrome Security Team
CVE-2012-3610 : Skylined of the Google Chrome Security Team
CVE-2012-3611 : Apple Product Security
CVE-2012-3615 : Stephen Chenney of the Chromium development community
CVE-2012-3618 : Abhishek Arya of Google Chrome Security Team using AddressSanitizer
CVE-2012-3620 : Abhishek Arya of Google Chrome Security Team
CVE-2012-3625 : Skylined of Google Chrome Security Team
CVE-2012-3626 : Apple Product Security
CVE-2012-3627 : Skylined and Abhishek Arya of Google Chrome Security team
CVE-2012-3628 : Apple Product Security
CVE-2012-3629 : Abhishek Arya of Google Chrome Security Team using AddressSanitizer
CVE-2012-3630 : Abhishek Arya of Google Chrome Security Team using AddressSanitizer
CVE-2012-3631 : Abhishek Arya of Google Chrome Security Team using AddressSanitizer
CVE-2012-3633 : Martin Barbella of Google Chrome Security Team using AddressSanitizer
CVE-2012-3634 : Martin Barbella of Google Chrome Security Team using AddressSanitizer
CVE-2012-3635 : Martin Barbella of Google Chrome Security Team using AddressSanitizer
CVE-2012-3636 : Martin Barbella of Google Chrome Security Team using AddressSanitizer
CVE-2012-3637 : Martin Barbella of Google Chrome Security Team using AddressSanitizer
CVE-2012-3638 : Martin Barbella of Google Chrome Security Team using AddressSanitizer
CVE-2012-3639 : Martin Barbella of Google Chrome Security Team using AddressSanitizer
CVE-2012-3640 : miaubiz
CVE-2012-3641 : Slawomir Blazek
CVE-2012-3642 : miaubiz
CVE-2012-3644 : miaubiz
CVE-2012-3645 : Martin Barbella of Google Chrome Security Team using AddressSanitizer
CVE-2012-3646 : Julien Chaffraix of the Chromium development community, Martin Barbella of Google Chrome Security Team using AddressSanitizer
CVE-2012-3653 : Martin Barbella of Google Chrome Security Team using AddressSanitizer
CVE-2012-3655 : Skylined of the Google Chrome Security Team
CVE-2012-3656 : Abhishek Arya of Google Chrome Security Team using AddressSanitizer
CVE-2012-3661 : Apple Product Security
CVE-2012-3663 : Skylined of Google Chrome Security Team
CVE-2012-3664 : Thomas Sepez of the Chromium development community
CVE-2012-3665 : Martin Barbella of Google Chrome Security Team using AddressSanitizer
CVE-2012-3666 : Apple
CVE-2012-3667 : Trevor Squires of propaneapp.com
CVE-2012-3668 : Apple Product Security
CVE-2012-3669 : Apple Product Security
CVE-2012-3670 : Abhishek Arya of Google Chrome Security Team using AddressSanitizer, Arthur Gerkis
CVE-2012-3674 : Skylined of Google Chrome Security Team
CVE-2012-3678 : Apple Product Security
CVE-2012-3679 : Chris Leary of Mozilla
CVE-2012-3680 : Skylined of Google Chrome Security Team
CVE-2012-3681 : Apple
CVE-2012-3682 : Adam Barth of the Google Chrome Security Team
CVE-2012-3683 : wushi of team509 working with iDefense VCP
CVE-2012-3686 : Robin Cao of Torch Mobile (Beijing)

JEDE dieser Lücken ist geeignet, auf deinem Mac Programme auszuführen, deinen Rechner zum Bot zu machen etc.

Beispiel:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3016

Ich kenne aktuell keine infizierte Seite, die das ausnutzt (und wenn, würde ich sie hier nicht nennen).
Dennoch ist klar, das es diese Seiten gibt. Google ist im Wesentlichen beteiligt beim fixen, sie werden auch wissen,
wo der Schadcode zu finden ist.

 

[JeZe]

dann ist für mich Lion so etwas wie Windows-Vista, ich will es nicht haben.

Genau. Das ist der Kern Deines Problems, nicht dass Apple für dich keine Lösung anbieten würde.

 

[smn]

Ich muss mal kurz vom Thema ablenken:

Nachdem Lion für kurze Zeit aus der "Einkäufe"-Liste im App Store verschwunden war, tauchte es vor kurzem wieder auf. Nun etwas interessantes:

Gehe ich mit dem schwarzen Macbook unter 10.7 in den App Store, kann ich Lion erneut laden.
Mit dem MacBook Pro, auf dem 10.8 läuft, geht es nicht - Fehlermeldung: "Sie können diese Version von Mac OS X nicht aktualisieren, da eine neuere Version bereits installiert ist."

Das ist natürlich insofern blöd, als mir im MacBook die HDD abrauchen könnte und ich damit keine Chance hätte, an eine Lion-Installation zu kommen. Also kann ich nur jedem mit ähnlicher Hardwarekonstellation raten, sich für den Fall der Fälle die Lion-Installationsdatei nochmals herunterzuladen und gut wegzusichern.

 

[h1bast]

JEDE dieser Lücken ist geeignet, auf deinem Mac Programme auszuführen, deinen Rechner zum Bot zu machen etc.

Beispiel:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3016

Häh?

Overview
Use-after-free vulnerability in Google Chrome before 17.0.963.56 allows remote attackers to cause a denial of service or possibly have unspecified other impact via vectors involving counter nodes, related to a "read-after-free" issue.

h1

 

[in2itiv]

Ich muss mal kurz vom Thema ablenken:

Nachdem Lion für kurze Zeit aus der "Einkäufe"-Liste im App Store verschwunden war, tauchte es vor kurzem wieder auf. Nun etwas interessantes:

Gehe ich mit dem schwarzen Macbook unter 10.7 in den App Store, kann ich Lion erneut laden.
Mit dem MacBook Pro, auf dem 10.8 läuft, geht es nicht - Fehlermeldung: "Sie können diese Version von Mac OS X nicht aktualisieren, da eine neuere Version bereits installiert ist."

Das ist natürlich insofern blöd, als mir im MacBook die HDD abrauchen könnte und ich damit keine Chance hätte, an eine Lion-Installation zu kommen. Also kann ich nur jedem mit ähnlicher Hardwarekonstellation raten, sich für den Fall der Fälle die Lion-Installationsdatei nochmals herunterzuladen und gut wegzusichern.

...für solche Fälle ist ja die Recovery-Partition .... da brauchst du keinen App-store ..... die Installation läuft ganz von allein.

...zudem, wozu brauchst du eine 10.7 Install, wenn du 10.8 auf dem Rechner hast?

...aber zu dem Thema gibt es einen eigen thread:
https://www.macuser.de/threads/os-x-10-7-lion-downloaden.647230/

 

[smn]

Wer lesen kann ...

Wenn die HDD abraucht, gibts keine Recovery mehr.
Und 10.7 brauche ich, weil schwarze MacBooks kein 10.8 können.

 

[kermitd]

Das "Problem" besteht doch wenn überhaupt eigentlich nur für die Leute, die sich aus irgendeinem Grund an Snow Leopard festklammern (müssen). Wozu in der Hauptsache alle mit mehr als ~ 6 Jahre alten Rechnern gezwungen sind (hier steht auch noch so einer mit SL drauf). Ansonsten bietet Apple ja wirklich für einen Minimalbetrag das neueste, bzw. das bis vor kurzem noch aktuelle und weiterhin unterstützte OS an. Apple drängt einen eben dazu, die neuesten OS-Updates mitzumachen.

 

[in2itiv]

Wer lesen kann ...

Wenn die HDD abraucht, gibts keine Recovery mehr.
Und 10.7 brauche ich, weil schwarze MacBooks kein 10.8 können.

...nun ist das Recovery aber gar nicht auf der HDD angelegt, sondern in der Firmware des EFI selbst

 

[Dominique]

Das "Problem" besteht doch wenn überhaupt eigentlich nur für die Leute, die sich aus irgendeinem Grund an Snow Leopard festklammern (müssen).

Ich glaube, wenn es iCloud auch für 10.6 gegeben hätte, wären viele wieder zurück auf 10.6



PS: Benutze übrigens auf meinem MBP Early 2011 immer noch 10.6

 

[Madcat]

...JEDE dieser Lücken ist geeignet, auf deinem Mac Programme auszuführen, deinen Rechner zum Bot zu machen etc.
...

Und was kann diese Schadware machen?
Hat schon seinen Grund warum diese Lücken nicht ausgenutzt werden. Ich sagte ja, Proof of concepts gibts viele.

 

[Nomax2000]

...nun ist das Recovery aber gar nicht auf der HDD angelegt, sondern in der Firmware des EFI selbst

Das ist aber falsch. Natürlich ist das Recovery auf einer eigenen Partition der Festplatte. Alternativ gibt es noch das Recovery über Internet, da wiederum ist es dann natürlich im EFI verankert. Gibt es aber auch erst bei der neusten Generation der Mac's. Wobei selbst der aktuelle iMac noch eine zweite Partition nutzt.

 

[NeoAtti]

Was ist denn "halbwegs sicher" arbeiten?

Na immerhin ein OS zu haben was keine öffentlich bekannte Sicherheitslöcher hat.
Ob Safari jetzt zum OS gehört oder nicht ... da kann man trefflich drüber streiten.
Also für mich schon, da es mit Mac OS X ausgeliefert wird.

man möge mir bitte Fälle nennen, wo jemand auf einem alten Apple-Betriebssystem aufgrund fehlender Sicherheitsupdates einen Schaden davongetragen hat.

Naja, mein Ziel ist es ja den Schaden gar nicht erst entstehen zu lassen.

Irgendwie wird hier gar nicht verstanden, dass gerade die Tatsache, dass ein Betriebssystem (ob gewollt oder ungewollt) nur einen kurzen Zeitraum unterstützt wird, der beste Schutz vor Schadsoftware ist. Für welches OS-X würde man als Hacker denn am besten entwickeln?

Das ist ja man eine coole Einstellung. Erinnert mich an VMS/openVMS - da wurde einem auch gesagt "SSH, SFTP? - So'n quatsch - Telnet und FTP sind viel ausgereifter. Hacker kommen auf dem System sowieso nicht zurecht - was sollen sie da schon machen?" - (kein Scherz jetzt) - und in der Tat, es gibt nicht viele Dokumentierte Einbrüche in VMS Systeme ...

Ich bin nicht Anhänger von "security by obscurity", von daher versuche ich nur Software zu benutzen die als sicher gilt. Ich warte nicht auf ein Schadensfall um ein Update einzuspielen.

Ich lass ja auch nicht meine Haustüre nachts offen stehen - würde jede Wette eingehen das ich das hier Monate lang machen könnte, ohne das was passiert (ausser das mich die Nachbarn darauf aufmerksam machen ). Ich schliesse sogar das Auto ab, ja! - Voll schizo!

Atti

 

[Ezekeel]

Wobei selbst der aktuelle iMac noch eine zweite Partition nutzt.

Ja. Tut er.Aber wenn die nicht da ist, nutzt er die recovery des EFIs.

 

[smn]

...nun ist das Recovery aber gar nicht auf der HDD angelegt, sondern in der Firmware des EFI selbst

Bei einem schwarzen MacBook 2,1? Soso.