- Registriert
- 25.02.04
- Beiträge
- 3.206
Betrachtung der gefundenen Lücken
Mit gemischten Gefühlen wurde der von einigen Crackern ausgerufene 'Month of Apple Bugs' im Januar 2007 erwartet. Die Crackertruppe hatte die Veröffentlichung etlicher schwerwiegender Lücken in Mac OS X angekündigt - allerdings sollte Apple vorher nicht über die Details in Kenntnis gesetzt werden, um angeblich mehr Druck auf den Hersteller auszuüben. Das stellte für viele Beobachter die Aufrichtigkeit der Cracker in Frage, denn sollten tatsächlich schwerwiegende Lücken der Öffentlichkeit Preis gegeben werden, so bestünde die Gefahr von Angriffen auf Mac User.
Wie angekündigt startete der MoAB am 1.1.2007 mit einem nicht zu verachtendem Bug in Apples Quicktime-API (siehe News vom 04.01.2007). Doch schon der 2. und viele folgende Bugs fanden sich nicht in Apple-Produkten, sondern in Software für die Mac-Plattform - das war zwar von vornherein auf der Webseite des MoAB-Teams angekündigt, führte jedoch zu einigem Spott angesichts des Mottos 'Apple-Bugs'. Etliche der 'echten' Apple-Bugs bauten aufeinander auf und waren somit nur Varianten ein und derselben Lücke.
Auf der Gegenseite formierte sich alsbald um Landon Fuller eine Truppe fähiger Mac-Spezialisten, die Patches für die meisten Lücken bereitstellte (via APE). Die sich fast zwangsläufig ergebende Kontroverse zwischen den beiden Lagern spitze sich ein erstes mal zu, als ausgerechnet eine Lücke in dem von Fullers Team verwendetem Tool APE veröffentlicht wurde (Bug Nr. 8).
Die findigen Cracker taten auch ihrerseits einiges, um ihre Seriosität zu untergraben. Die teilweise albernen Bilder auf den Bug-Seiten sowie äusserst flapsige Kommentare führten allenthalben zu Verwunderung. Weiterhin wurden Neugierige, die Seiten der noch nicht veröffentlichten Bugs anzusurfen suchten, mit extrem abstossenden Pornobildern konfrontiert. Des weiteren wurden Colloquy-User vor der Veröffentlichung des Bugs 16 angegriffen, das MoAB-Team bestritt aber, daran beteiligt gewesen zu sein. Die Scherze der Hacker gipfelten schliesslich auf der Veröffentlichungsseite des Bugs 28, die über ein manipuliertes JPEG2000 - Bild die CoreGraphics-Library in eine Endlosschleife schickt - mit CPU Maximallast. Dass das kein Zufall war zeigt der dazugehörige Source-Code:
Frei übersetzt: "Den Beatles (Käfern) und den Bugs (Wanzen) gehört Apple" und: "Benutze kein MacBook im Bett wenn Du die MoAB Seiten ansurfst, sonst grillst du Deine Nüsse, Schleifendreher!", in Anspielung auf die entstehende Abwärme bei CPU-Volllast.
Ungeachtet des unseriösen Verhaltens muss man dem MoAB-Team zugestehen, immerhin 5 haarsträubende Fehler in Mac OS X gefunden zu haben. Damit hat der MoAB der Mac-Plattform vielleicht eher genützt als geschadet, denn über ausgenutzte Exploits von dritter Seite wurde bisher nichts bekannt. Apple hat inzwischen mit dem letzten Security-Update die erste Schwachstelle gestopft.
Die Lehre, die man aus dem MoAB ziehen kann, ist, dass ein Unverwundbarkeitsgefühl, das bei vielen Apple-Usern vorherrscht, fehl am Platze ist. Mac OS X ist Software und keinesfalls fehlerfrei. Selbstredend geniest man durch die relative geringe Verbreitung und dem soliden Unterbau des Betriebsystems eine weit größere Sicherheit als dies bei Windows-Rechnern gegeben ist, und so existieren immernoch keine funktionierenden Viren für Mac OS X. Dennoch sollte bei Apple-Fans langsam die Erkenntnis erwachsen, dass ein Virenscanner kein Windows-Teufelszeug ist, auch bei den Tux (Linux & Co) ist das längst bekannt. Spätestens wenn die ersten wirklichen Viren (nach immerhin 6 Jahren OS X) auftauchen, sollte man gewappnet sein. Die Wahrscheinlichkeit dafür hat durch den MoAB weder ab, noch zugenommen - viele Löcher können im Moment immerhin händisch gepacht werden - aber eventuell wurden auch Cracker, die nicht nur über schlechten Geschmack, sondern darüber hinaus noch über kriminelle Energie verfügen auf den Plan gerufen.
Gemeinde, seid vorbereitet.
Eine kleine Bewertung der veröffentlichten Bugs und ihre Patches findet ihr im Anhang.
Gruß, Euer
.commander
Mit gemischten Gefühlen wurde der von einigen Crackern ausgerufene 'Month of Apple Bugs' im Januar 2007 erwartet. Die Crackertruppe hatte die Veröffentlichung etlicher schwerwiegender Lücken in Mac OS X angekündigt - allerdings sollte Apple vorher nicht über die Details in Kenntnis gesetzt werden, um angeblich mehr Druck auf den Hersteller auszuüben. Das stellte für viele Beobachter die Aufrichtigkeit der Cracker in Frage, denn sollten tatsächlich schwerwiegende Lücken der Öffentlichkeit Preis gegeben werden, so bestünde die Gefahr von Angriffen auf Mac User.
Wie angekündigt startete der MoAB am 1.1.2007 mit einem nicht zu verachtendem Bug in Apples Quicktime-API (siehe News vom 04.01.2007). Doch schon der 2. und viele folgende Bugs fanden sich nicht in Apple-Produkten, sondern in Software für die Mac-Plattform - das war zwar von vornherein auf der Webseite des MoAB-Teams angekündigt, führte jedoch zu einigem Spott angesichts des Mottos 'Apple-Bugs'. Etliche der 'echten' Apple-Bugs bauten aufeinander auf und waren somit nur Varianten ein und derselben Lücke.
Auf der Gegenseite formierte sich alsbald um Landon Fuller eine Truppe fähiger Mac-Spezialisten, die Patches für die meisten Lücken bereitstellte (via APE). Die sich fast zwangsläufig ergebende Kontroverse zwischen den beiden Lagern spitze sich ein erstes mal zu, als ausgerechnet eine Lücke in dem von Fullers Team verwendetem Tool APE veröffentlicht wurde (Bug Nr. 8).
Die findigen Cracker taten auch ihrerseits einiges, um ihre Seriosität zu untergraben. Die teilweise albernen Bilder auf den Bug-Seiten sowie äusserst flapsige Kommentare führten allenthalben zu Verwunderung. Weiterhin wurden Neugierige, die Seiten der noch nicht veröffentlichten Bugs anzusurfen suchten, mit extrem abstossenden Pornobildern konfrontiert. Des weiteren wurden Colloquy-User vor der Veröffentlichung des Bugs 16 angegriffen, das MoAB-Team bestritt aber, daran beteiligt gewesen zu sein. Die Scherze der Hacker gipfelten schliesslich auf der Veröffentlichungsseite des Bugs 28, die über ein manipuliertes JPEG2000 - Bild die CoreGraphics-Library in eine Endlosschleife schickt - mit CPU Maximallast. Dass das kein Zufall war zeigt der dazugehörige Source-Code:
Code:
<img src="images/paul.jpg" width="160" alt="The Beatles and Bugs Own Apple"/>
<img src="bug-files/heat-up.jp2" alt="" height="1" width="1" />
<!-- Never use the macbook at bed again when browsing the MoAB or you will fry your balls, looper -->
Frei übersetzt: "Den Beatles (Käfern) und den Bugs (Wanzen) gehört Apple" und: "Benutze kein MacBook im Bett wenn Du die MoAB Seiten ansurfst, sonst grillst du Deine Nüsse, Schleifendreher!", in Anspielung auf die entstehende Abwärme bei CPU-Volllast.
Ungeachtet des unseriösen Verhaltens muss man dem MoAB-Team zugestehen, immerhin 5 haarsträubende Fehler in Mac OS X gefunden zu haben. Damit hat der MoAB der Mac-Plattform vielleicht eher genützt als geschadet, denn über ausgenutzte Exploits von dritter Seite wurde bisher nichts bekannt. Apple hat inzwischen mit dem letzten Security-Update die erste Schwachstelle gestopft.
Die Lehre, die man aus dem MoAB ziehen kann, ist, dass ein Unverwundbarkeitsgefühl, das bei vielen Apple-Usern vorherrscht, fehl am Platze ist. Mac OS X ist Software und keinesfalls fehlerfrei. Selbstredend geniest man durch die relative geringe Verbreitung und dem soliden Unterbau des Betriebsystems eine weit größere Sicherheit als dies bei Windows-Rechnern gegeben ist, und so existieren immernoch keine funktionierenden Viren für Mac OS X. Dennoch sollte bei Apple-Fans langsam die Erkenntnis erwachsen, dass ein Virenscanner kein Windows-Teufelszeug ist, auch bei den Tux (Linux & Co) ist das längst bekannt. Spätestens wenn die ersten wirklichen Viren (nach immerhin 6 Jahren OS X) auftauchen, sollte man gewappnet sein. Die Wahrscheinlichkeit dafür hat durch den MoAB weder ab, noch zugenommen - viele Löcher können im Moment immerhin händisch gepacht werden - aber eventuell wurden auch Cracker, die nicht nur über schlechten Geschmack, sondern darüber hinaus noch über kriminelle Energie verfügen auf den Plan gerufen.
Gemeinde, seid vorbereitet.
Eine kleine Bewertung der veröffentlichten Bugs und ihre Patches findet ihr im Anhang.
Gruß, Euer
.commander
Anhänge
Zuletzt bearbeitet: