7 Monate alte Lücke ungepatcht!

trekmann

Cripps Pink
Registriert
01.05.09
Beiträge
155
Nett ist das nicht von Apple. Aber da es bisher grade mal 50 - 60 Schädlingen für den Mac gibt, ist Apple sich der Gefahr scheinbar nicht bewusst. Ich hoffe nur, das Apple damit nicht irgendwann einmal auf die Nase fallen wird ...
 

papierschiff

Klarapfel
Registriert
19.09.09
Beiträge
278
in jedem system gibt es sicherheitslücken, die frage ist halt wie man damit umgeht und da ist apple leider nicht wirklich vorreiter, eher nachzügler. es wird weder schnell gepatcht noch offen mit diesem problem umgegangen. da kann apple noch froh sein nicht stärker verbreitet zu sein. :(
 

awk

Clairgeau
Registriert
03.07.08
Beiträge
3.687
Die selbe Lücke wurde bei FreeBSD schon vor einiger Zeit geschlossen…
 

Rastafari

deaktivierter Benutzer
Registriert
10.03.05
Beiträge
18.150
Wie im Heise-Forum schon angemerkt wurde, verhält sich Apple wie MS in den 90ern...
http://www.heise.de/security/meldung/Schwachstelle-in-Mac-OS-X-seit-Monaten-ungepatcht-902197.html
Tut mir herzlich leid, aber den dort verlinkten "Proof-Of-Concept Exploit" vermag ich auf 10.5.8/intel beim besten Willen nicht zu reproduzieren. Ausser einem sauber abgefangenem und damit folgenlos verlaufenden Absturz einer Perl-Sitzung bewirkt der Beispielcode offenbar gar nichts. Ich scheine eine Art Wundercomputer zu besitzen, auf dem sich dieser "ungepatchte Fehler" ganz von selbst behoben hat?
Und dann soll ein vermeintlicher Fehler der libc auch noch remote ausnutzbar sein?
Ohne auch nur mal ganz vage zu erwägen, wie eigentlich?
FUD in Reinkultur.
 

papierschiff

Klarapfel
Registriert
19.09.09
Beiträge
278
Tut mir herzlich leid, aber den dort verlinkten "Proof-Of-Concept Exploit" vermag ich auf 10.5.8/intel beim besten Willen nicht zu reproduzieren. Ausser einem sauber abgefangenem und damit folgenlos verlaufenden Absturz einer Perl-Sitzung bewirkt der Beispielcode offenbar gar nichts. Ich scheine eine Art Wundercomputer zu besitzen, auf dem sich dieser "ungepatchte Fehler" ganz von selbst behoben hat?
Und dann soll ein vermeintlicher Fehler der libc auch noch remote ausnutzbar sein?
Ohne auch nur mal ganz vage zu erwägen, wie eigentlich?
FUD in Reinkultur.

keine ahnung ob sie einen wundercomputer besitzen, aber bei anderen scheint es zu funktionieren. da der mann schon so manch andere schwachstelle "aufgedeckt" hat, glaube ich ihm erstmal mehr als ihnen, erst recht weil ich nicht abschätzen kann was zu ändern ist, dass das ding nicht nur abstürzt. fakt ist doch aber anscheinend, dass es eine falsche / fehlerhafte implementierung ist, die von apple noch nicht behoben ist. ich erwarte ehrlich gesagt von apple, dass sie sowas prüfen und fixen und nicht erst darauf ankommen lassen. und anscheinend haben manch andere projekte das ohne schwierigkeiten geschafft. :(
 

deloco

Weißer Winterkalvill
Registriert
14.11.07
Beiträge
3.505
Wir duzen uns hier im Forum normaler Weise…

Tja, Sicherheitslücken tauchen halt immer mal wieder auf und Apple repariert die immer sehr langsam. Ich würde trotzdem kein Microsoft-System mehr installieren und GNU/Linux ist einfach zu Endanwender-Unfreundlich, also bleibe ich bei OSX und warte bis es gefixt ist. Warten heißt in diesem Fall, es ist mir völlig egal, weil ich meinen Computer trotzdem weiter nutzen werde…
Aber wenn so 'ne Lücke bekannt wird, ist das ja wenigstens der erste Schritt zu 'nem Patch…
 

papierschiff

Klarapfel
Registriert
19.09.09
Beiträge
278
Wir duzen uns hier im Forum normaler Weise…
oh... das fällt mir bei anderen sehr schwer, mich selbst kann man duzen oder siezen, egal... steht das irgendwo (ich hab in der hilfe nichts gefunden)? die texte im forum sind ja auch eher auf "sie" ausgelegt.

Tja, Sicherheitslücken tauchen halt immer mal wieder auf und Apple repariert die immer sehr langsam. Ich würde trotzdem kein Microsoft-System mehr installieren und GNU/Linux ist einfach zu Endanwender-Unfreundlich, also bleibe ich bei OSX und warte bis es gefixt ist. Warten heißt in diesem Fall, es ist mir völlig egal, weil ich meinen Computer trotzdem weiter nutzen werde…
Aber wenn so 'ne Lücke bekannt wird, ist das ja wenigstens der erste Schritt zu 'nem Patch…
man darf ja zum glück osx kritisieren ohne damit zu meinen, dass es grundsätzlich mist ist. zumindest eine reaktion von apple fände ich gut, nach dem motto "ok, haben wir gesehen, werden wir versuchen zu fixen".. aber da hält sich apple ja grundästzlich eher zurück.
 

Rastafari

deaktivierter Benutzer
Registriert
10.03.05
Beiträge
18.150
keine ahnung ob sie einen wundercomputer besitzen, aber bei anderen scheint es zu funktionieren.
Irgendjemand der das ein wenig mehr als nur "scheinbar" nachvollziehen kann möge sich melden.
Mit dem im Blog des grossen Sicherheitsexperten angegebenen Beispielcode gelingt es jedenfalls nicht. Anstatt eines versprochenen Buffer Overflow erhalte ich eine ganz normale, erfolgreiche Programmbeendigung.
Code:
(gdb) r
Starting program: /Users/admin/foo/x 
Reading symbols for shared libraries ++. done
grams = 0.111111

[COLOR="Red"]Program exited normally.[/COLOR]
(gdb)
(Und ja, ich weiss was ich da mache...)

da der mann schon so manch andere schwachstelle "aufgedeckt" hat, glaube ich ihm erstmal mehr als ihnen
:)
Und wenn das nun auf mich ebenfalls zutrifft (ohne Anführungszeichen), glaubst du dann vielleicht eher jemandem der für seine Exploits auch real funktionierenden Code beibringen kann?

fakt ist doch aber anscheinend, dass es eine falsche / fehlerhafte implementierung ist
"Anscheinende Fakten" sind das, was Wissenschaft von Religion unterscheidet.
Behauptungen werden erst dann zu Fakten, sobald sie zweifelsfrei zu beweisen sind.
Dass der Autor auf seiner Site angibt, wie ein Fehler sich auswirken würde, genügt nicht. Derart simpel geartete Fehler müssten problemlos nachzuvollziehen sein.

und anscheinend haben manch andere projekte das ohne schwierigkeiten geschafft.
Offenbar hast du völlig überlesen, dass die Implementierung unter OS X von Anfang an ein anderes Verhalten aufwies, für die erstgenannte Lücke überhaupt nicht anfällig war und daher in dieser Hinsicht auch nicht gefixt werden musste.
Der Autor behauptet, dieser Fehler würde als Folgefehler auch in abgeleiteten Funktionsaufrufen auftreten und daher indirekt auch OS X betreffen. Ich sehe nichts, das diese Behauptung stützt.
Der Autor scheint mir zu ahnen, dass der Fehler wohl nicht im serienmässig installierten System, sondern vielmehr in den GNU Derivaten der libc existiert, wie sie zB manuell durch fink oder macports nachinstalliert werden kann, daher hat er wohl die verräterischen Infozeilen aus dem Output des Debuggers kurzerhand aus dem Text entfernt...
 

koksnutte

Ribston Pepping
Registriert
13.04.05
Beiträge
299
Offenbar hast du völlig überlesen, dass die Implementierung unter OS X von Anfang an ein anderes Verhalten aufwies, für die erstgenannte Lücke überhaupt nicht anfällig war und daher in dieser Hinsicht auch nicht gefixt werden musste.
Der Autor behauptet, dieser Fehler würde als Folgefehler auch in abgeleiteten Funktionsaufrufen auftreten und daher indirekt auch OS X betreffen. Ich sehe nichts, das diese Behauptung stützt.
Der Autor scheint mir zu ahnen, dass der Fehler wohl nicht im serienmässig installierten System, sondern vielmehr in den GNU Derivaten der libc existiert, wie sie zB manuell durch fink oder macports nachinstalliert werden kann, daher hat er wohl die verräterischen Infozeilen aus dem Output des Debuggers kurzerhand aus dem Text entfernt...
interessant...

und was hat es damit auf sich?
Arciemowicz hat ein kurzes Programm zur Demonstration veröffentlicht, das den Fehler provoziert – die Anwendung stürzt aber nur ab. Laut Arciemowicz sei es jedoch nicht schwer, durch gezielte Manipulation der ESI- und EDI-Registers eingeschleusten Code auszuführen. Dazu müsste ein Opfer nur eine manipulierte Webseite besuchen.

müsste dafür nicht noch eine weitere lücke existieren (browser/java)? o_O
oder ist das nur ein weiterer versuch um dem ahnungslosen user noch mehr "angst" ein zu flösen?
 

Rastafari

deaktivierter Benutzer
Registriert
10.03.05
Beiträge
18.150
und was hat es damit auf sich?
Das hat der Autor der Heise-Meldung offensichtlich überhaupt nicht nachgeprüft, sondern einfach aus dem Blog abgeschrieben. Qualitätsjournalismus der alten Schule.
Das beschriebene "Beispiel" hab ich einfach mal ausprobiert, der versprochene Absturz bleibt aus. Und die damit verbundene Möglichkeit zur Registermanipulation natürlich auch.

müsste dafür nicht noch eine weitere lücke existieren (browser/java)?
Selbstverständlich. Um fehlerhaften Code durch einen Overflow zu kompromittieren, muss selbiger erst mal ausgeführt werden. Der Fehler muss also in einer auf dem Zielrechner bereits vorhandenen Softwarekomponente vorliegen, die für die Darstellung eines angebotenen Inhalts benötigt wird, und es muss weiterhin die Möglichkeit bestehen, dieser Funktion seine manipulierten Parameter zu übergeben. Ausserdem muss aufgezeigt werden, dass dieser Fehler in einer ganz konkreten Umgebung und Betriebssituation nicht bereits durch anderweitige Sicherheitsmassnahmen abgefangen und damit unschädlich gemacht wird.
Solange diese Funktion(en) nicht an real existentem Code ganz konkret benannt und eine nachprüfbar funktionierende Missbrauchsmöglichkeit mit plausibler Erfolgsaussicht aufgezeigt werden kann, bleibt das alles nur rein spekulative, heisse Luft.

(Und Luft bleibt nun mal Luft, egal ob sie nach Blumen duftet oder nicht. Über den aparten Geruch dieser Meldung mag ich mich gar nicht weiter äussern, denn das reimt sich auf "Histmaufen".)