• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Viele hassen ihn, manche schwören auf ihn, wir aber möchten unbedingt sehen, welche Bilder Ihr vor Eurem geistigen Auge bzw. vor der Linse Eures iPhone oder iPad sehen könnt, wenn Ihr dieses Wort hört oder lest. Macht mit und beteiligt Euch an unserem Frühjahrsputz ---> Klick

Katastrophale Security-Politik von Apple?

Birnenfreund

Idared
Registriert
03.12.07
Beiträge
28
Hallo,

nachdem hier ja sehr gerne die grandiose Sicherheit von Mac OS X im Vergleich zu Windows bejubelt wird, sollte man vielleicht auch folgenden Artikel auf heise.de kennen: http://www.heise.de/newsticker/Exploit-fuer-ungepatchte-Luecke-in-Mac-OS-X-Update--/meldung/138217

Kurz gesagt scheint es einen (Apple) seit Dezember des Vorjahres bekannten Bug in der Java-Implementierung zu geben, der einen Angreifer potentiell die Kontrolle über einen Rechner übernehmen lässt. Auch das Update 10.5.7 bietet keine Lösung für das Problem. Die einzige Lösung scheint zu sein, Java im Browser zu deaktivieren.

Ich verstehe unter Sicherheit etwas anderes.
 

Nathraq

Braeburn
Registriert
31.12.08
Beiträge
47
Ich bin gespannt wie sich das entwickelt. Möglichkeit 1. Es ist eine Ente. Möglichkeit 2. Es ist war und dann wär es fatal. Da es nicht das erste mal ist das Apple es verschläft bekannte Sicherheitslücken zu schließen hier
 
ApfelLeon

ApfelLeon

Antonowka
Registriert
08.06.08
Beiträge
363
Lt. dem Artikel gilt dies auch für Firefox.....katastrophale Security-Politik von Windows, weil auf den meisten PC´s FF läuft?
 

MacAlzenau

Golden Noble
Registriert
26.12.05
Beiträge
22.497
Na ja, heise.... Ich kann's zwar nicht abschätzen (denke aber, wenn was dran wäre, hätte hier der eine oder andere Experte schon was dazu geschrieben), aber mich erinnert sowas an einen sogenannten Experten, der im Fernsehen mal lauthals verkündete, daß der Mac ja jetzt auch unsicher sei.
Weil man Windows drauf installieren könne....
Da kann man doch nur den Kopf an die Wand hauen ob solcher Pseudokompetenz.
Ein Mac ist ein Mac mit OS X, wenn es um Sicherheit geht, denn Sicherheit bietet immer nur System/Software und nicht irgendwelche Hardware. Schließlich sagt auch kein Mensch, Dellcomputer seien unsicher, man nennt Windows beim Namen.
Aber so kann man Unsicherheit schüren.
 

MartioReo

Braeburn
Registriert
23.01.09
Beiträge
44
Sicherheitslücke Safari MacOsX und Java

Laut Heise gibt es in MacOsX eine ungepatchte Sicherheitslücke durch die ein Angreifer die Kontroller über den Rechner übernehmen kann.
Artikel hier: http://www.heise.de/newsticker/Exploit-fuer-ungepatchte-Luecke-in-Mac-OS-X-Update--/meldung/138217

Und die Demonstration der Sicherheitslücke gibt es hier zum Testen:
http://landonf.bikemonkey.org/static/moab-tests/CVE-2008-5353/hello.html

Wenn die Sprachausgabe ertönt, ist der Rechner anfällig.


Diese Lücke ist wohl direkt im Java und gilt auch für den Firefox

Seit einem Java-Update ist diese Lücke für Dosen geschlossen,
bisher durch Apple nicht.

Also Augen auf beim browsen und als Workaround Java abschalten.

P.S. Fall jemand schon schneller war, einfach löschen

Schönen Abend
MartioReo
 

harden

Roter Eiserapfel
Registriert
28.03.05
Beiträge
1.445
ApfelLeon schrieb:
Lt. dem Artikel gilt dies auch für Firefox.....katastrophale Security-Politik von Windows, weil auf den meisten PC´s FF läuft?
Zum Vergrößern anklicken....

Nein, da der Fehler in Java liegt und nicht in Safari oder Firefox. Und Java ist unter OSX von Apple handgemacht, daher muss Apple hier nachbessern und nicht Sun. Steht übrigens auch im Artikel so drin...
 
proteus

proteus

Langelandapfel
Registriert
23.10.05
Beiträge
2.671
Und da sich insbesondere Heise ja immer wieder durch gründlich recherchierte, kompetente Artikel - gerade über Macs - hervortut und auf Bildzeitungsniveau fundierte 40 Wort Artikel verbricht ist das natürlich die seriöseste Quelle, die ich finden kann. Ich frage auch einen katholischen Pfarrer, wenn ich was über Teufelskult wissen will, in der Erwartung, eine sachliche Antwort zu bekommen.

Das es immer wieder Leute gibt, die diesen Mist überhaupt lesen.
 
  • Like
Reaktionen: salome
computerschreck

computerschreck

Kleiner Weinapfel
Registriert
09.08.08
Beiträge
1.142
proteus schrieb:
Und da sich insbesondere Heise ja immer wieder durch gründlich recherchierte, kompetente Artikel - gerade über Macs - hervortut und auf Bildzeitungsniveau fundierte 40 Wort Artikel verbricht ist das natürlich die seriöseste Quelle, die ich finden kann. Ich frage auch einen katholischen Pfarrer, wenn ich was über Teufelskult wissen will, in der Erwartung, eine sachliche Antwort zu bekommen.

Das es immer wieder Leute gibt, die diesen Mist überhaupt lesen.
Zum Vergrößern anklicken....


/signed
 

Bettarg

Auralia
Registriert
03.03.09
Beiträge
199
Ja krass, was macht die Demo ? Ausser Hello World Posten ?

Edit: Ok ich voll Hong hatte den Ton aus ^^
 
quarx

quarx

Brauner Matapfel
Registriert
17.04.05
Beiträge
8.444
Die Demo ist ein Proof of Concept und formatiert natürlich nicht sämtliche Festplatten. ;)
Genaue Informationen über die Sicherheitslücke kann man übrigens diesem Blogeintrag entnehmen, der das Proof of Concept motiviert hat.
Dass der Fehler im JRE von OS X seit fast einem halben Jahr nicht behoben worde, ist einfach nur peinlich für Apple. Überhaupt kann ich den stiefmütterlichen Java-Support in OS X nicht so recht verstehen. Warum gibt es Java 6 nicht für 32 Bit-Macs?
 

harden

Roter Eiserapfel
Registriert
28.03.05
Beiträge
1.445
proteus schrieb:
Das es immer wieder Leute gibt, die diesen Mist überhaupt lesen.
Zum Vergrößern anklicken....

Und damit man sich nicht auf heise verlassen muss gibt es dort eine Quellenangabe, die man stattdessen lesen kann. Und die wesentlichen Informationen (Lücke in Apple JVM vorhanden bei Sun jedoch vor 5 Monaten geschlossen) haben es sogar bis nach heise geschafft.

Bei den Folgen dieser Lücke übertreibt heise imho etwas, da sie von "... die Kontrolle über einen Rechner übernehmen ..." schreiben. Aber dafür kann man ja die bei heise verlinkte Quelle lesen, natürlich nur, wenn man seinen Ekel überwunden hat und auf einen Link zu heise geklickt hat.
 
eyecandy

eyecandy

Graue Französische Renette
Registriert
08.12.05
Beiträge
12.209
quarx schrieb:
Überhaupt kann ich den stiefmütterlichen Java-Support in OS X nicht so recht verstehen.
Zum Vergrößern anklicken....
wie auch im blogpost von julien tinnes hingeweisen, ist das problem nicht eines unter osx, auch viele windows-systeme werden, trotz des seitens suns erfolgten patches, wahrscheinlich noch angreifbar über diesen exploit sein, bedingt durch die fehlende anbindung des java-update-mechanismus an das ms-update-system.

als reine java anwendung ist der exploit ausführbar unter safari, ff, ie auf osx, win, linus, etc.
 

Retrax

Schweizer Orangenapfel
Registriert
04.01.04
Beiträge
4.005
Ich möchte nicht wissen wieviele Mac-Bot-Netze es tatsächlich schon gibt...o_O

Es ist ja nicht das erstemal dass Apple sich auf der Insel der Glückseligen weilt und OS X für unantastbar hält, und bekannte Sicherheitslücken erst nach massivem Druck von außen patcht...
 

Erunno

Tydemans Early Worcester
Registriert
26.01.08
Beiträge
391
eyecandy schrieb:
wie auch im blogpost von julien tinnes hingeweisen, ist das problem nicht eines unter osx, auch viele windows-systeme werden, trotz des seitens suns erfolgten patches, wahrscheinlich noch angreifbar über diesen exploit sein, bedingt durch die fehlende anbindung des java-update-mechanismus an das ms-update-system.

als reine java anwendung ist der exploit ausführbar unter safari, ff, ie auf osx, win, linus, etc.
Zum Vergrößern anklicken....

Im oben verlinkten Blog steht eigentlich nur, dass nicht alle Windows Benutzer aus verschiedensten Gründen die aktuellste Version von Java verwenden. Das veraltete Software unter Umständen schon längst behobene Fehler beinhalten kann, ist jetzt keine bahnbrechend neue Erkenntnis. Im Gegensatz dazu hat aber ein OS X Benutzer momentan überhaupt nicht die Möglichkeit, auf eine neuere Version ohne den hier beschriebenen Exploit umzusteigen.

Meinem Verständnis nach bezieht sich der folgende Absatz nicht speziell auf diesen Exploit (den dieser funktioniert tatsächlich nur auf OS X), sondern beschäftigt sich mit hypothetischen zukünftigen Fehlern in Java und das diese vermutlich auf allen Plattformen gleich funktionieren werden. Laut Julien Tinnes scheint Java unter erheblich mehr Schwierigkeiten zu leiden als nur dieser eine Exploit, weswegen er generell zum Verzicht des Browser Plugins rät.

Interessant auch:

Moreover, even without taking into consideration Java vulnerabilities themselves, since the Java plugin allocates all memory as RWX and doesn't opt-in for randomization, a Java applet can be used to bypass ASLR and non executability (DEP on Windows) in browser exploits.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
quarx

quarx

Brauner Matapfel
Registriert
17.04.05
Beiträge
8.444
Die JVM-Sicherheitslücke ist aber nun mal kein Mythos.
 

Erunno

Tydemans Early Worcester
Registriert
26.01.08
Beiträge
391
GunBound schrieb:
Ok, Java != OS-abhängig, ich weiss.
Zum Vergrößern anklicken....

Für den Endbenutzer dürfte es auch wenig Unterschied machen, wodurch die Sicherheitslücken verursacht werden. Und Apple kann auch nicht aus der Pflicht genommen werden, da es sich um "first-party" Software handelt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten