20 Zero-day-Sicherheitslücken in Apple Mac OS X

[eet]

Interessante Meldung bei heise.de:

Mac OS X: "geringeres Risiko, aber letztlich unsicherer"

 

[trekmann]

Deswegen hatte ich ja auch schon so viele Viren . Ach ne ... gibt ja keine . Und jetzt kommt bloß keiner mit dem Marktanteil, das Argument wurde schon im Artikel auseinander genommen.

Das Apples Verhalten zu existierenden Sicherheitslücken nicht die beste ist, das ist mittlerweile allgemein bekannt. Trotzdem halte ich das für reine Stimmungsmache. Wenn es wirklich so schlimm ist, dann wären schon lange irgend welche Schädlinge aufgetaucht. Siehe Aurora ...

Stattdessen gibt es nur Trojaner dessen Installation per PW(!) bestätigt werden muss. Zudem gibt es gegen diesen in 10.6 eine eingebauten AntiViren Schutz, der in 10.5 nicht aktiv war. So viel übrigens zu dem Thema, Apple würde NICHTS für die Sicherheit tun.

 

[eichyl]

Deswegen hatte ich ja auch schon so viele Viren . Ach ne ... gibt ja keine . Und jetzt kommt bloß keiner mit dem Marktanteil, das Argument wurde schon im Artikel auseinander genommen.

Darum geht es ja prinzipiell gar nicht! Von Viren wurde auch kein Wort erwähnt, aber ich finde auch das Apples Umgang bzgl. Sicherheitslücken sehr nachlässig ist.

Der Marktanteil hat bei Malware aber eine Bedeutung, zumindest stehen infizierte Mac-Systeme nicht so hoch im Kurs wie Windows-Systeme!

 

[MacAlzenau]

Wenn es so einen Spaß macht, Macs zu knacken - warum macht das nicht ständig wer? Wir leben doch in einer Spaßgesellschaft.

 

[eet]

Die 20 Lücken stecken übrigens laut Artikel in 4 Apple-Produkten, welche der Herr Miller durch das Bombardieren der Anwendungen mit 5 Zeilen Python-Code herausbekam. Wenn er nächste Woche seinen Vortrag darüber hält, werden bestimmt einige interessiert zuhören; die Lücken werden natürlich auch veröffentlicht. Mal schauen, wie schnell Apple sich bemüht, Patches zu schreiben.

 

[trekmann]

Von Viren wurde auch kein Wort erwähnt, aber ich finde auch das Apples Umgang bzgl. Sicherheitslücken sehr nachlässig ist.

Ich finde das auch nicht ok! Trotzdem gibt es aber niemanden der diese Lücken ausnutzen will! Und genau das ist doch schon seltsam?! Wenn es wirklich Lücken WÄREN die leicht aus zu nutzen sind, dann sollte es wesentlich mehr Bösewichte geben ... siehe Aurora! Es gibt diese Bösewichte aber nicht ...

Trotzdem habe ich zusätzlich ein AntiViren Schutz laufen. Sicher ist Sicher ...

 

[eet]

Viren haben mit Sicherheitslücken nichts zu tun; wenn etwa - hypothetisch gesprochen - die Lücke in Safari steckt, könnte im Zweifelsfall das Besuchen einer Internetseite reichen, um Code zu injizieren und auf dem Mac auszuführen. Davon kriegt dein Antivirenprogramm nichts mit.

 

[trekmann]

Viren haben mit Sicherheitslücken nichts zu tun; wenn etwa - hypothetisch gesprochen - die Lücke in Safari steckt, könnte im Zweifelsfall das Besuchen einer Internetseite reichen, um Code zu injizieren und auf dem Mac auszuführen. Davon kriegt dein Antivirenprogramm nichts mit.

Und warum macht es dann keiner?

 

[eet]

Vielleicht hast du es nur noch nicht gemerkt...

 

[trekmann]

Wenn nicht dann auf jeden Fall irgendein Käseblatt was gern mal gegen Apple hetzt . Und das wiederum hätte Heise auf jeden Fall mit bekommen (oder Golem ).

Ich finde die Sicherheitspolitik von Apple auch nicht wirklich gut. Vorsicht ist besser als Nachsicht (bei Apple wohl nicht so sehr). Trotzdem sehe ich das nicht so schlimm wie der gute Herr im Artikel. Denn wenn er wirklich so schlimm WÄRE, dann gäbe es schon wesentlich mehr Angriffe!

 

[eichyl]

Die frage ist ja, was ist wenn Angriffe auf Mac OSX häufiger auftreten? Wenn Apple dann viele Sicherheitslücken innerhalb kurzer Zeit stopfen muss werden sie ähnliche Probleme bekommen wie einst MS.

Gerade in Bezug auf iPhone/iPad könnte das in Zukunft interessant werden.

 

[MacAlzenau]

Geht's dabei eigentlich mehr um Hochwasserschutz oder um Einbruchsschutz, um's mal mit dem RL zu vergleichen? Also Sicherheit gegen etwas, was jeden beiläufig trifft/treffen kann, was flächendeckend auftritt ohne Ansehen der Person - oder um Sicherheit gegen Leute, die sich ganz genau ein Ziel aussuchen?
Oder was ganz anderes?

 

[eet]

Geht's dabei eigentlich mehr um Hochwasserschutz oder um Einbruchsschutz, um's mal mit dem RL zu vergleichen?

Könnte beides sein. Von Interesse ist, denke ich aber nur der Hochwasserschutz.

 

[trekmann]

Die frage ist ja, was ist wenn Angriffe auf Mac OSX häufiger auftreten? Wenn Apple dann viele Sicherheitslücken innerhalb kurzer Zeit stopfen muss werden sie ähnliche Probleme bekommen wie einst MS.

Ich will es als Apple User nicht hoffen. Zumal die Zeichen dafür seid Jahren da sein sollen und bisher nichts passiert. SOLLTE es dennoch passieren, dann hoffe ich das Apple richtig reagiert. Zumal Sie dann auch ein nicht unerhebliches Imageproblem bekommen werden, man erinnere sich an die Mac Werbespots von wegen "Für Mac gibt es keine Schädlinge".

Gerade in Bezug auf iPhone/iPad könnte das in Zukunft interessant werden.

Da bin ich auch gespannt. Aber bisher gibt es ja keine Schädlich bei original iPhones.

 

[Die Banane]

Und warum macht es dann keiner?

was ist denn das für eine rechtfertigung? bei mir ist, bisher, noch niemand eingebrochen. trotzdem lasse ich den hausschlüssel nicht von außen stecken.

 

[trekmann]

was ist denn das für eine rechtfertigung? bei mir ist, bisher, noch niemand eingebrochen. trotzdem lasse ich den hausschlüssel nicht von außen stecken.

Kannst du ruhig machen solange von Innen trotzdem verriegelt ist kommt eh keiner rein.

 

[MacAlzenau]

Stimmt. Aber die Frage ist meiner Meinung nach eher: reicht das normale Schloß oder soll ich mir noch einige zusätzliche Sicherheitseinrichtungen anschaffen. Deshalb auch meine Frage, ob die Lücken breitgestreut jeden betreffen oder ob sie nur gefährlich sind, wenn es jemand gezielt auf mich abgesehen hat. Wenn ich ein paar Millionen an Kunst im Haus rumliegen habe, reicht mir der normale Hausschlüssel auch nicht.

 

[trekmann]

reicht das normale Schloß oder soll ich mir noch einige zusätzliche Sicherheitseinrichtungen anschaffen. Deshalb auch meine Frage, ob die Lücken breitgestreut jeden betreffen oder ob sie nur gefährlich sind, wenn es jemand gezielt auf mich abgesehen hat. Wenn ich ein paar Millionen an Kunst im Haus rumliegen habe, reicht mir der normale Hausschlüssel auch nicht.

Nenne es alte Windowskrankheit ist sonst irgendetwas. Aber ich habe mir zusätzliche Sicherheitsmöglichkeiten angeschafft. Ich halte nicht so viel von den Internen Maßnahmen. Mag sein das diese bei OSX besser sind als bei 7 oder Vista, trotzdem gehe ich auf Nummer sicher.

WENN es Lücken gibt die ausgenutzte werden (was in Vergangenheit nicht das Fall war), dann wird es so gut wie jeden betreffen.

Mit anderen Worten, ich hab die normale Tür gegen eine Einbruchsichere getauscht die von Innen verriegelt werden kann .

 

[pepi]

Und warum macht es dann keiner?

Wer sagt, daß das keiner macht?

Bis zur Veröffentlichung der Lücken bleibt alles Spekulation. Eine Aussage darüber wie die potentiellen Lücken exploitbar sein wird bisher nicht getroffen. Es ist ein unterschied zwischen einer lokalen Privilege Escalation und einer remote Code Execution. Letztere ist deutlich gefährlicher, vor allem wenn man sie mit einer ersteren paaren kann.

0day sagt auch nicht mehr aus, als daß es sich dabei um eine bisher unveröffentlichte (nicht zwangsläufig auch unbekannte) Lücke handelt. Über die Tragweite läßt das bis zur Veröffentlichung noch keine Aussage zu. Das Disclosure Verhalten wird im Artikel ebenfalls nicht angesprochen. Es wäre durchaus möglich, daß Apple deswegen mit der Veröffentlichung von 10.6.3 wartet. Andererseits ist die Update Politik von Apple, nicht nur, aber insbesondere im Security Bereich inzwischen leider "unter aller Sau". Hier hilft es wohl nur, daß die Konsumenten, die User, in breiter Menge Apple mitteilen, daß deren Patches da schneller kommen müssen. Also bitte alle deren Feedback Formular verwenden und regelmäßig nach den Security Updates fragen. Irgendwann wird hoffentlich auch die Hochburg der Präpotenz Apple kapieren, daß sie da was tun müssen. Und zwar akut.
Gruß Pepi

 

[herz3272]

Last euch nicht einreden, OSX ist sicher. Windows ist unsicher nach wie vor. Ohne Virus Programm braucht man nicht ins Internet gehen da hast du mit Sicherheit in kürze einen Trojaner auf dein Rechner. Das hat sich bis jetzt nicht geentert. Ich habe noch einen Windows PC, da werden Täglich 2 MB Viren und Trojaner Informationen von Kaspersky vom Internet herunter geladen das man sicher ist sonst meldet Kaspersky das System unsicher ist wenn man das nicht Täglich macht.