Month of the Apple Bugs

Leider bin ich zusehr "Laie" um die Schwachstellen oder Bugs wirklich einschätzen zu können. Der Spiegelartikel ist allerdings eher schwammig und/oder polemisch.
Es scheint anscheinend eher schwierig so einen richtigen Bug bzw. schwerwiegende Sicherheitslücke nachzuweisen. Na ja, kommt ja vielleicht noch, der Monat ist ja noch lang.
 
Die nächste Lücke (Teil 5) beschäftig sich mit den so genannten BOM (Bills of Materials) in OS X. Was das genau ist, dazu etwa hier Näheres:

http://docs.info.apple.com/article.html?artnum=25751-de

Wenn ich die beim Month of the Apple Bug entdeckte Lücke richtig deute, kann beim Rechtereparieren mit Hilfe eines manipulierten BOMs Schadcode in OS X eingeschmuggelt werden.

Um so ein manipuliertes BOM zu bekommen, muss man es sich aber erst mal eines besorgen - das heißt, so weit ich das sehe, dass man ein infiziertes Programm installieren muss.

Dass man aber lediglich Programme aus vertrauenswürdigen Quellen downloaden und installieren sollte, dürfte eigentlich jedem klar sein. Denn gegen einen User, der sich Malware willentlich holt, installiert und startet, ist noch kein Kraut gewachsen. In dem Sinne hat sich wohl mit oder ohne BOM-Lücke nichts verändert.

Im Übrigen gibt es bereits einen Fix, der von der Gruppe um Landon Fuller wie immer zeitnah bereitgestellt wird:

http://groups-beta.google.com/group/moabfixes?hl=en
 
benjii schrieb:
Um so ein manipuliertes BOM zu bekommen, muss man es sich aber erst mal eines besorgen - das heißt, so weit ich das sehe, dass man ein infiziertes Programm installieren muss.
Zum Vergrößern anklicken....

Ich hab es mir noch nicht angesehen, aber ich stimme Dir zu. Wenn ich Dir einen Trojaner gebe und Du ihn installierst, dann kann ich alles machen.

Wenn ich Dich dazu bringe, auch ein Admin Passwort einzugeben, dann ohnehin. Die Frage ist immer, ob es da eine Priviledge Escalation gibt, also ob ich mehr Rechte bekommen kann als dem aktuellen Benutzer eigentlich zustehen.

Egal: Was mich an der Aktion aufregt ist, dass die Jungs ERST 31 Bugs sammeln (das dauert ja auch ein bischen) und dann sagen "Wir können die Hersteller nicht vorab informieren, das dauert zu lange"

Das hier ist ein Publicity Stunt

Alex
 
Zuletzt bearbeitet:
Ich finde die Aktion "Month of the Apple Bugs" ok, so werden hoffentlich einige Firmen, auch Apple, wachgerüttelt, etwas mehr in die Sicherheit zu investieren.

Verglichen mit dem Windowsdesaster sind die Applebugs aber eher kümmelich.

http://www.computerbase.de/news/software/browser/2007/januar/internet_explorer_6_284_tage/
"""Mindestens 98 Tage lang (in 2006) seien diese Sicherheitslücken aufgrund eines fehlenden Patches nachgewiesenermaßen ausgenutzt worden, um persönliche Daten von Internetnutzern zu entwenden."""
 
Dass das System gecheckt wird, ist ja ok. Dass gleich detaillierte Anleitungen zum Bau von Schadsoftware und Tipps, wie die Lücken am Besten ausgenutzt werden, mitgeliefert werden, ist für meine Begriffe halb kriminell. Zumindest hätten sie dem Hersteller (Apple, VLC etc) etwas Zeit für einen Patch geben sollen.
 
Lua schrieb:
Für dessen Installation vermutlich ein Passwort verlangt wird. :cool:
Zum Vergrößern anklicken....

Nö, ist ein Ape-Modul. Also nur Neustart des Finders nötig.

Gruß, Gerhard
 
Ich kann dazu nur sagen das ich seit 2 Monaten total entspannt bin, Kauf meines Apples im Oktober, denn alles läuft wunderbar und ich bin nicht so naiv das ich denke es würde keiner auf meinen Computer schauen können.

Man kommt in jedes System rein. Von daher sollen sich die Software Entwickler weiterhin mit diesen Ärger-Entwicklern zusammen setzen und planen wann der nächste Wurm oder sonstwas in Umlauf gebracht wird um wieder ein neues Programm verkaufen zu können.

Ich kann nur sagen das die Umgewöhnung Zeit in Anspruch genommen hat und man jeden Tag was neues am Apple lernt aber es lohnt sich.

Windows kommt mir nich mehr ins Haus !
 
Ma. schrieb:
Ich finde die Aktion "Month of the Apple Bugs" ok, so werden hoffentlich einige Firmen, auch Apple, wachgerüttelt, etwas mehr in die Sicherheit zu investieren.
Zum Vergrößern anklicken....

Oh ja, und die Schlafmützen vom VLC Projekt mussten auch mal dringend wachgerüttelt werden, oder hab ich Dich falsch verstanden?

Alex
 
Dr_Nick schrieb:
http://www.heise.de/newsticker/meldung/83284

Und weiter gehts...
Zum Vergrößern anklicken....


Ja, klar, das ist die weiter oben schon beschriebene Lücke in den BOMs. Wobei ich den heise-Artikel etwas effekthascherisch finde: Dass der darauf beruhende Root-Exploit schon ausgenutzt werde, beruht lediglich auf Angaben aus anonymen Quellen. Ich kann's mir, ehrlich gesagt, nicht vorstellen, dass allzuviele Systeme infiziert sind. Wobei die Verbindung von MOAB #1 (Quicktime-Lücke) und MOAB #5 vermutlich einen Root-Exploit über ein Quicktime-Filmchen zulassen würde.

Für ganz Vorsichtige gilt deshalb wohl: Entweder die Patches der MOAB-Fix-Gruppe installieren. Oder auf den offiziellen Patch von Apple warten und bis dahin keine Rechte reparieren. Dass keine dubiose Software installiert werden sollte, versteht sich ja von selbst.
 
Nunja... Der Monat ist jetzt 6 Tage alt, und man hat es sogar fast geschaft jeden Tag eine Lücke "aufzutreiben". Dramatisch ist davon bis jetzt fast keine... Also, für Win kommen da deutlich öfter sachen zum Vorschein;)

Ich finde es gut, es war doch klar, dass es nicht KEINE Sicherheitslücken gibt, aber wer erwartet des auch. Es sind immerhin DEUTLICH weniger als bei PCs...

Also noch viel Spaß ;) ich bleib dabei, ein mac ist in Sachen Sicherheit nicht mit einem PC vergleichbar...
 
Nun ja, so gut gestellt scheinen die "Sicherheitsexperten" vom Month of the Apple Bugs nicht zu sein... Jetzt bitten sie auf ihrer Website darum, doch Anzeigen bei ihnen zu schalten - um einen Mac mini zu Testzwecken zu kaufen. :(

Ich bleibe dabei: Die Jungs (die sicher was können) vertun sich eine Chance, als seriöse Sicherheitsexperten zu punkten. Hätten sie - wie andere das tun - nur die Lücken beschrieben und die Exploits erst nach einer gewissen Schonfrist veröffentlicht, wäre ihnen sowohl der Beifall der Hacker-Szene als auch die Anerkennung der Software-Unternehmen (nicht nur die von Apple) sicher gewesen. :rolleyes:

Was anderes noch: Ich bin, ehrlich gesagt, überrascht über die fehlende Resonanz des Themas hier bei macuser.de. Ich dachte, das Thema wird heftig und kontrovers diskutiert hier. Aber der Thread hier schlummert meist selig vor sich hin... Dabei ist's ja nicht wenig, dass jetzt auch am Mac ein Remote-Root-Exploit a la Windows zumindest theoretisch machbar scheint.
 
hat jemand zufällig die md5 checksummen von garantiert nicht manipulierten BOM gefunden?
 
@benji

Theoretisch machbar ist viel.
Ich erwarte eigentlich täglich die ersten Java-Viren, die über JavaScript nachgeladen werden. Da wären einige Programme betroffen, das zuletzt bekannte war eine Lücke im Adobe Reader. Bisher nix, oder?

Gruß, Gerhard
 
MacUser fühlen sich einfach zu sicher, deswegen wird das Thema einfach nicht so kontrovers diskutiert, wie es es eigentlich hätte sein sollen.
Aber MacUser sind einfach zu bequem (behaupte ich einfach mal). Ich sehe das es eine Lücke in QuickTime gibt, aber tortzdem bin ich zu bequem, um mit ein paar Einstellungen in Quicktime das Problem zu beheben. Da warte ich lieber auf einen Patch von Apple... und so werden bestimmt viel handeln.

Mfg
snow.maddus
 
Die Jungs von Apple sollten doch jetzt so einige Sonderschichte einlegen, um möglichst schnell ein Update zu bringen oder sehe ich das falsch? Immerhin wird auch mit der Virenfreiheit von Macs geworben und die sollte ja noch lang erhalten bleiben...
 
foggn86 schrieb:
Die Jungs von Apple sollten doch jetzt so einige Sonderschichte einlegen, um möglichst schnell ein Update zu bringen oder sehe ich das falsch? Immerhin wird auch mit der Virenfreiheit von Macs geworben und die sollte ja noch lang erhalten bleiben...
Zum Vergrößern anklicken....

Ich melde selber Bugs an Apple, und ja, manchmal reagieren sie nicht ganz so schnell, wie man sich das wünschen würde.

Aber dennoch weiss ich nicht, warum diese Month-Of-Apple-Bugs jetzt Apple zu Sonderschichten nötigen wollen.

Die finden doch nicht jeden Tag einen Fehler, sondern sie haben die lange gesammelt -- und nicht an die Entwickler gemeldet.

Damit führen sie ihre eigene Argumentation ad-absurdum: Wenn es ihnen um Sicherheit ging, dann hätten sie die Fehler schon vor Monaten zumindest gemeldet.

Das hier ist Terror: "Wir zeigen im Internet, wie man Exploits baut, und wenn Apple nicht schnell genug fixt, dann ist das nicht unser Problem."
Wenn ich Apple Entwickler wäre und jetzt Überstunden schieben müsste, dann wäre ich nicht sonderlich froh über diese Art der "Belehrung".

Alex

Alex
 
@below: Da stimme ich dir zu. Es wäre fair(und auch besser für die User) gewesen den Apple zumindest einen Monat vor dem moab die Bugs zukommen zu lassen, meinetwegen auch jeden Tag einen. ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten