Feature GoToFail: Doppelte Codezeile sorgt über Monate für klaffende Sicherheitslücke in iOS und OS X

raven · 24.02.14

Farafan schrieb:
Es gilt immer das alte Sprichwort "Hinterher sind alle schlauer".

Da hast du recht. Nun sind aber ale schlauer selbst Apple, und da frage ich mich wann es gefixt wird.

Martin Wendel · 24.02.14

Farafan schrieb:
Es ist nun einmal nicht damit getan eine Zeile Code zu löschen.

In diesem Fall offenbar schon.

Für iOS und den Apple TV ist das Update ja auch rechtzeitig verfügbar und man kann mir nicht erklären, dass ein Multi-Milliarden-Dollar-Konzern es nicht schafft, diesen Bug rechtzeitig zu fixen. Es gibt ja mittlerweile sogar inoffizielle Fixes, die das Problem beseitigen. Für mich wirkt das so, als wäre da im Unternehmen arg was schief gelaufen.

Farafan schrieb:
Es wird schon seit Ewigkeiten davon abgeraten in öffentlichen Netzen sensible Anwendungen auszuführen.

Dinge wie E-Mail, auf Amazon shoppen oder ein System-Update zu laden fallen für dich schon unter sensibel?

implied · 24.02.14

Ich weiß jetzt nicht aus wieviel Zeilen Code OSX besteht.
Windows 2000 waren damals etwa 30 Millionen Zeilen. Laut allgemein postulierten Schätzungen existieren je 1.000 Zeilen Code im Schnitt 3 Fehler. Das wären alleine bei dem damaligen Windows schon fette 90.000 Fehler.
Ein Softwareengeneering mit 100%iger Fehlerfreiheit ist nicht durchsetzbar - Je näher man an das "perfekte Programm" kommen möchte, um so mehr steigen Aufwand und Kosten ins Unermessliche.

Und nicht alles, was ein User (schon gar nicht der typische DAU, der "dümmste anzunehmende User") so in sein Gerät reinhacken kann, wird oder kann von Programmieren vorausgesehen und durch entsprechende Routinen abgefangen.Bin aber voll bei @Martin Wendel und seinem Fakt2: Die Veröffentlichung eines Fehlers vor dem "fixing" darf nicht passieren.

Farafan · 24.02.14

Mal ganz dumm gefragt: wer hat denn veröffentlicht? Die Historie ist mir echt unbekannt.
Wenn es Apple selbst gewesen ist dann wäre es in der Tat ein fataler Fehler.

Martin Wendel · 24.02.14

Soweit ich weiß, war über die Sicherheitslücke bis zur Veröffentlichung der iOS-Updates nichts bekannt.

Dario von Apfel · 24.02.14

Nur mal so eine verstandbisfrage. Konnte die SSL Lücke nur ausgenutzt werden wenn sich der Angreifer im gleichen Netzwerk Netzwerk befindet? Wenn ich jetzt mit meinem Mac nur zuhause bin kann mir dann auch was passieren wenn nur ich im Netzwerk bin?

Mitglied 128076 · 24.02.14

Dario von Apfel schrieb:
Nur mal so eine verstandbisfrage. Konnte die SSL Lücke nur ausgenutzt werden wenn sich der Angreifer im gleichen Netzwerk Netzwerk befindet? Wenn ich jetzt mit meinem Mac nur zuhause bin kann mir dann auch was passieren wenn nur ich im Netzwerk bin?

Hab ich nun auch so verstanden?

Sent from my iPad using Apfeltalk mobile app

Farafan · 24.02.14

So liest sich das eigentlich auf allen fachkundig fundierten Seiten. Zudem müsste der potentielle Angreifer privilegierte Rechte in diesem Netz haben.

Demnach besteht eigentlich nur Gefahr in öffentlichen Netzen.

MacApple · 24.02.14

Dario von Apfel schrieb:
Nur mal so eine verstandbisfrage. Konnte die SSL Lücke nur ausgenutzt werden wenn sich der Angreifer im gleichen Netzwerk Netzwerk befindet?

Nein, der Angreifer kann irgendwo sitzen.

Dario von Apfel schrieb:
Wenn ich jetzt mit meinem Mac nur zuhause bin kann mir dann auch was passieren wenn nur ich im Netzwerk bin?

Ja, diese Lücke ermöglicht eine „man in the middle“ Attacke. Du gibst in Deinen Browser eine https:// Adresse ein und denkst, Du bist sicher mit dem richtigen Server verbunden, weil der Browser ja ein Schloss anzeigt. Ein Angreifer könnte aber nun Deinen Verbindungswunsch über seinen eigenen Server umleiten (dazu braucht er die besagte privilegierte Position, nicht Rechte) und kann dann alles mitlesen.

Dario von Apfel · 24.02.14

MacApple schrieb:
Nein, der Angreifer kann irgendwo sitzen.

Ja, diese Lücke ermöglicht eine „man in the middle“ Attacke. Du gibst in Deinen Browser eine https:// Adresse ein und denkst, Du bist sicher mit dem richtigen Server verbunden, weil der Browser ja ein Schloss anzeigt. Ein Angreifer könnte aber nun Deinen Verbindungswunsch über seinen eigenen Server umleiten (dazu braucht er die besagte privilegierte Position, nicht Rechte) und kann dann alles mitlesen.

Okay. Vielen dank für die Erklärung

Ijon Tichy · 24.02.14

verpeiler schrieb:
Man muß kein Programmier-Experte sein, um zu erkennen, daß da jemand riesen Mist gebaut hat.... Das ist eher ein Anfängerfehler, und sollte in einer Software von Apple niemals vorkommen.

Fehler passieren - die Frage ist wie man das managet. In diesem Fall würde eine statischer Codescanner Alarm schlagen, weil nach dem if zwei eingerückte Zeilen ohne Klammern folgen. Da frage ich mich freilich: Setzt Apple so etwas nicht ein?!?

Ragnir · 24.02.14

Farafan schrieb:
Es gilt immer das alte Sprichwort "Hinterher sind alle schlauer".

Naja und hinterher ist jetzt. Woran es liegt, weiß man offenbar auch, aber eine Zeile zu löschen scheint unmöglich. Bei den wenigen IT-Fachkräften in so einer kleinen Klitsche ist das klar, wo soll die Manpower herkommen.

Also ich weiß nur, dass meine Kunden mich häuten würden, wenn ich mir auch nur einen Kaffee holen würde, bevor sowas gelöst ist.

Suche

Suche

Feature GoToFail: Doppelte Codezeile sorgt über Monate für klaffende Sicherheitslücke in iOS und OS X

raven

Golden Noble

Martin Wendel

Redakteur & Moderator

implied

Rheinischer Bohnapfel

Farafan

deaktivierter Benutzer

Martin Wendel

Redakteur & Moderator

Dario von Apfel

London Pepping

Mitglied 128076

Gast

Farafan

deaktivierter Benutzer

MacApple

Schöner von Bath

Dario von Apfel

London Pepping

Ijon Tichy

Clairgeau

Ragnir

Adams Parmäne

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)