Month of the Apple Bugs

benjii schrieb:
Weil ich davon ausgehe, dass Apple ein einigermaßen verantwortungsvoller Software-Hersteller ist, der Fehler möglichst umgehend schließt.
Zum Vergrößern anklicken....

Nun, könnte ja auch sein, dass derzeit bei Apple alle Resourcen in 10.5 gebunden sind und man sich lieber Zeit lassen wollte.

Selbst bei verantwortungsbewussten OSS-Programmierern gibt es immer wieder Ärger um lange offene Sicherheitslücken, die trotz rechtzeitiger Information nicht geschlossen wurden.

Ich finde es super, dass Apple richtig Druck bekommt. Ein bischen Demut tät denen machmal ganz gut stehen.:rolleyes:
[Ironie]Mir kommt es so vor, dass die Sicherheit bei OSX hauptsächlich durch Marketing erreicht wird.[/Ironie]

H3x
 
H3x schrieb:
Ich finde es super, dass Apple richtig Druck bekommt. Ein bischen Demut tät denen machmal ganz gut stehen.:rolleyes:
Zum Vergrößern anklicken....

Druck ok, aber mit der nötigen Zeit zu reagieren. Alles andere ist ein wirklich unnötiges Sicherheitsrisiko, dem die User ausgesetzt werden.

Also wenn Demut, dann bitte nicht auf meine Kosten. :rolleyes:

H3x schrieb:
[Ironie]Mir kommt es so vor, dass die Sicherheit bei OSX hauptsächlich durch Marketing erreicht wird.[/IronieH3x
Zum Vergrößern anklicken....

Na ja, da steckt schon was dahinter. Bald sechs Jahre ist das System auf dem Markt, ohne dass eine einzige "scharfe" Malware unterwegs ist. Das erreichst du nicht nur durch Marketing.
 
naja.. das ist ja nicht auf apples mist gewachsen.
das einzige was apple dazu beigetragen hat, war sich für unix bzw bsd zu entscheiden.
darauf beruht die ganze sicherheit ja eigentlich nur.
 
Cadel schrieb:
naja.. das ist ja nicht auf apples mist gewachsen.
das einzige was apple dazu beigetragen hat, war sich für unix bzw bsd zu entscheiden.
darauf beruht die ganze sicherheit ja eigentlich nur.
Zum Vergrößern anklicken....

Nicht nur. OS X stammt ja unter der Haube zu großen Teilen von Nextstep ab - und das hatte schon zu seiner Zeit einen großen Wert auf Sicherheit gelegt. Nicht zuletzt haben auch Banken und US-Regierungsbehörden deshalb das System von Steve Jobs Firma benutzt.

Im Übrigen soll das nächste OS X "Leopard" ja einen großen Sprung nach vorne in punkto Sicherheit machen.

Angekündigt ist etwa ein Mandatory-Access-Control-Framework. Damit kann laut Wikipedia genau definiert werden, über welche Rechte und Einschränkungen Anwendungen, Prozesse und Funktionen verfügen.

Außerdem soll es Code Signing-Mechanismen geben. Programme und Komponenten, die mit höheren Rechten oder in systemkritischen Bereichen laufen (Kernel-Module, Startobjekte, Dienstprogramme), müssen dann über eine gültige und korrekte digitale Signatur verfügen, um ausgeführt werden zu können.
 
Zuletzt bearbeitet:
benjii schrieb:
Nicht nur. OS X stammt ja unter der Haube zu großen Teilen von Nextstep ab
-- snipp --
Zum Vergrößern anklicken....
Welches wieder rum auf BSD 4.3 und dem Mach-2.5-Kernel basiert, also im Grunde genommen doch Unix based.
 
doger schrieb:
Welches wieder rum auf BSD 4.3 und dem Mach-2.5-Kernel basiert, also im Grunde genommen doch Unix based.
Zum Vergrößern anklicken....

Ja, klar, Nextstep war (und ist) ein Unix, ein sehr gutes sogar. Das WWW ist drauf entwickelt worden. Die Abstammung ist sehr schön am Unix-Tree zu sehen:

http://www.levenez.com/unix/history.html

Das war anno 1988 - von einem Linux war da weit und breit noch nichts zu sehen... ;)
 
benjii schrieb:
Also nach dem ersten Bug in Quicktime (veröffentlicht samt passender Exploit-Anleitung):

http://projects.info-pull.com/moab/MOAB-01-01-2007.html

folgt nun der zweite Streich. Und zwar seltsamerweise eine Lücke im...

http://projects.info-pull.com/moab/MOAB-02-01-2007.html

...VLC-Player. Und das Loch lässt sich genau so in Windows ausnutzen. Fragt sich eben, was das mit dem "Month of the Apple Bugs" zu tun hat. :confused:
Zum Vergrößern anklicken....

schön finde ich auch, dass man eine m3u datei über udp öffnen muss. mach ich eigentlich täglich :D
Ob das alles so Praxisnah ist, weiss ich nicht. Es heisst ja bei den ersten Proof of Concept, d.h. es wäre möglich ;)
Alles nur Wichtigtuerei von den Herren. Aber alle fahren drauf ab.
 
Was kann apple schon dafür wenn im vlc player ein bug is.... wenn dann würden mich überhaupt nur applebugs interessieren, wie die lücke im QT.

aber interessant wäre es sowieso nur wenn die bugs wirklich eine SICHERHEITSLÜCKE im sinne von möglichen Angriffen darstellen würden.

Was kümmern mich diese minibugs die ich in der praxis eh nie zu gesicht bekomme und die es außerdem auch auf den anderen Plattformen gibt.

So ist der bug im VLC Player nicht nur auf der MAC OS X plattform sondern genau so auf linux und auf windows vorhande.
^^
wo liegt also hier der sinn des month of the APPLE bugs....
 
Zuletzt bearbeitet:
So, der nächste und dritte Streich der die Herren ist der durch Quicktime verbreitete Wurm, der vor kurzem in MySpace für Ärger sorgte. Wer sich nicht mehr daran erinnern kann:

http://www.pcwelt.de/news/sicherheit/65635/

Wie üblich liefern die "Sicherheitsexperten" potenziellen Script-Kiddies eine detaillierte Anleitung, wie das Ganze zu machen ist. Aber sie benutzen, man höre und staune, kein OS X mit Safari, um das Ganze zu demonstrieren, sondern ein Windows XP SP 2 und schildern, was man dann so mit dem Internet Explorer 5 und 6 unter Windows machen kann. :eek:

Seltsamer "Month of the Apple Bugs", echt... :D

Im Übrigen haben sich die Macher des Open-Source-Projekts VLC-Player mittlerweile auf Apples Seite gestellt. Landon Fuller von VLC kündigte an, für jede im "Month of the Apple Bugs" gefundene Lücke zeitnah einen Patch bereit zu stellen. Für die ersten zwei gefunden Lücken hat er dies bereits getan:

http://landonf.bikemonkey.org/code/macosx/
 
Zuletzt bearbeitet:
ist quicktime für windows kein apple-produkt?
 
Cadel schrieb:
ist quicktime für windows kein apple-produkt?
Zum Vergrößern anklicken....

Ist es... aber, ehrlich, ich hatte erwartet, dass sie im "Month of the Apple Bugs" mit den Software-Löchern OS X austesten. Dass sie es nicht tun, spricht für sich, finde ich.
 
der monat hat noch ein paar tage ;)
 
Teil 4 der Apple Bugs sind veröffentlicht. Dieses Mal handelt es sich um einen Fehler in den XML-Feeds der iPhoto Photocasts:

"By creating a crafted iPhoto photocast XML feed, a malicious user (in this example, infamous Johnny Pwnerseed) could abuse a format string vulnerability in the handling of the "title" element, potentially leading to a remote arbitrary code execution condition.

Once Aunt Sophia subscribes, the malicious feed is automatically downloaded into a "Johnny Pwnerseed's Latest Pics" album that instantly triggers the issue."

Wie üblich werden die Bugs sofort mit dem passenden Exploits serviert, Script-Kiddies könnten sich dann gleich mal ans Basteln machen.

"The provided proof of concept launches a fake HTTP service which will serve the XML payload to any iPhoto user connecting. If the user-agent isn't iPhoto, it will send garbage instead. For a more elaborate POC, you can modify it to take iPhoto version into account. Requires a working Ruby interpreter and capability to use the port 80 (as iPhoto apparently rejects any other port)"

Als Tipp zum Schutz empfehlen die Hacker:

"Don't trust Johnny Pwnerseed, Aunt Sophia's or other unknown users photocasts (as the risk is more than just being a victim of the Goatse meme). Don't try to subscribe to them without checking first that the feed doesn't contain a malicious payload."
 
Heute berichtet auch Spiegel Online davon. Klick
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten