dannycool
Aktives Mitglied
- Dabei seit
- 02.02.2005
- Beiträge
- 1.493
- Reaktionspunkte
- 34
ms510 schrieb:@dannycool
zu deiner Sicherheitslücke....
das man sich unter HFS+ die named forks auflisten kann gehört zur grundfunktion von osx ... das ist sozusagen ein feature...gibt doch auch im finder...paketinhalt anzeigen...deswegen funktioniert das ja auch was du machst.
Gerade weil es eine Grundfunktion ist, ist es ein Problem. Sonst würde man es einfach ausbauen. Bisher ist es nichtmal abschaltbar. (Wobei, ein Admin mit Programmierkenntnissen könnte es für einzelne Programme ausschalten, aber das ist nicht sein Job.)
Das was der Finder bei Paketen macht ist etwas komplett anderes. Pakete und Anwendungen sind bei Mac OS X wirklich Ordner. Der Finder behandelt sie nur per default wie Files, damit der dumme User nicht drinnen rummurkst...
Das Sicherheitsloch bezog sich darauf das man das ganze mit Apples Apache und anderen Webservern damit Informationen ausgelesen werden können...das ganze wurde von Apple für Apache gefixt...die anderen Hersteller sollten sich selber darum kümmern...sind ja auch nur ein paar Zeilen die geändert werden müssen.
Dass es nicht am Apache liegt sieht man schon alleine daran, dass man auf seinem Mac auch UFS anstatt HFS+ verwenden kann, damit tritt die Problematik nicht auf. Nein, das kann's nicht sein, Apple will hier ein Unix verkaufen (auch wenn sie die Marke nicht lizensiert haben), da sollte es sich auch wie eins verhalten...
Für den Apache haben sie ausschließlich deshalb einen Workaround veröffentlicht, weil der mit dem Mac OS X mitverkauft wird.
und im übrigen ist das ganze schon seit 10.0.3 bekannt. Da will NetSec glaub ich auf die Kacke hauen und in die Schlagzeilen kommen.
Es ist üblich dass man solche Advisories erst rausgibt, wenn die Lücke behoben wurde. Wenn es seit 10.0.3 bekannt ist, finde ich es erstaunlich wie hier einige davon sprechen können, dass sich Apple schnell um Sicherheitsprobleme kümmert.