• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Was gibt es Schöneres als den Mai draußen in der Natur mit allen Sinnen zu genießen? Lasst uns teilhaben an Euren Erlebnissen und macht mit beim Thema des Monats Da blüht uns was! ---> Klick

Katastrophale Security-Politik von Apple?

Retrax

Schweizer Orangenapfel
Registriert
04.01.04
Beiträge
4.015
Auch ein

rm -rf $HOME
Zum Vergrößern anklicken....

und damit ein löschen des Homeverzeichnisses ist über diese Sicherheitslücke (einfach nur über das Ansurfen einer Webseite bei eingeschaltetem Java) möglich. Apple sollte dringenst nachbessern. o_O
 

Erunno

Tydemans Early Worcester
Registriert
26.01.08
Beiträge
391
Wäre diese Sicherheitslücke nicht eine Meldung auf der Hauptseite wert, damit andere Nutzer, die dieses Forum nicht lesen, auch Maßnahmen zur Vorbeugung treffen können?
 
GunBound

GunBound

Rote Sternrenette
Registriert
23.06.05
Beiträge
6.074
Erunno schrieb:
Wäre diese Sicherheitslücke nicht eine Meldung auf der Hauptseite wert, damit andere Nutzer, die dieses Forum nicht lesen, auch Maßnahmen zur Vorbeugung treffen können?
Zum Vergrößern anklicken....
Einmal mehr lohnt sich ein Blick in Handbücher…

…je schon vom "Firmware-Passwort" gehört?
 
GunBound

GunBound

Rote Sternrenette
Registriert
23.06.05
Beiträge
6.074
Rastafari schrieb:
Firmware-Passwort? Java?
Äääähm...
Sorry, den Witz verstehe ich jetzt aber doch nicht?
Zum Vergrößern anklicken....
Ich hatte den Kopf bei deinem Beitrag hier (k.A. wieso :innocent:):
Rastafari schrieb:
Vor einigen Monaten hat HeiOn eine "Sicherheitslücke in OS X" entdeckt, die nicht zu toppen ist: Man hat tatsächlich herausgefunden, dass es einen Single-User Modus gibt. Wow, wie entsetzlich.
Noch ulkiger war die Beschreibung eines "Sicherheitsproblems", das zur Ausnutzung eine bereits vorhandene root-shell erfordert. Niederschmetternder Kretinismus.
Sorry, aber deren Einstufungen und Wertungen sind nicht ernst zu nehmen und reine Panikmache.
Bei einem rein im Benutzerkontext ausnutzbaren Leck theatralisch von "Übernahme des Rechners" zu schreiben ist nichts anderes als billigster Schmierenjournalismus im Stil von BILD oder RTL2.
Zum Vergrößern anklicken....
 
flooce

flooce

Querina
Registriert
06.01.06
Beiträge
181
GunBound schrieb:
Ich wollte das auch nicht ansprechen, weil ich das selbst nicht glaube. Grund:
  • MacMark bietet keine wirklichen Erklärungen. Ein Vergleich mit dem Apache-Server hinkt zu stark (Hacker nehmen sich vielleicht lieber andere Komponenten eines Servers vor).
  • Das Interesse der Hacker liegt natürlich schon darin, mit ihrer "glorreichen" Tat möglichst viele Computer zu verseuchen. Da greift man lieber zu Windows (aber dieses ist auch einfacher hackbar; streite ich nicht ab).
Meine Meinung setzt sich mittlerweile so zusammen: Der Marktanteil spielt womöglich eine Rolle, dafür jedoch eine begrenzte/eine nicht so starke, wie viele meinen. Viren für OS X zu programmieren ist schwieriger, was die Anzahl derer drastisch senkt.
Zum Vergrößern anklicken....

Are Macs more Safe than Secure? No

Will the risks facing Mac users gradually change as the Mac installed base grows? Apparently that can’t happen fast enough for the anti-virus companies who want to sell Mac users unnecessary software. Their pundits love to equate low risk, self-injury actions that are unlikely but possible on a Mac (and impossible to stop with security software) with high risk, difficult to escape from events that are routine on Windows and can be addressed by their lucrative security software subscriptions. This is straight up misinformation mixed with fear, uncertainty and doubt to defraud the public.

Real World Security on Macs and Windows

The real discrepancy that needs to be pointed out between security on the Mac and Windows is that while Microsoft has recently invested more into building a fancy security infrastructure in the Vista version of Windows that most Windows users don’t actually use, Mac users continue to both feel safer and to actually be safer in the sense of being “free from danger or threat,” whether that threat might relate to:

  • malicious data loss
  • machine downtime
  • ID theft and related fraud
  • the stealing of sensitive data
  • the nuisance of adware
  • lost PC resources used to serve a spambot network
  • lost PC resources used to run protection software.
There is clearly no immediate or impending threat to Macs, and there is little in the way of market forces or that wishful thinking pundit invention of “hacker pride” that will result in something to turn Macs into the disaster that has dogged Windows since the late 90s. Fischer’s capacity for speculating a scenario where Macs fall prey to virus attacks is not the same as Macs actually being at any risk of being attacked by viruses.
No amount of highly publicized security contests (where one of the half dozen men on earth who track Mac security vulnerabilities arrives and shuts down the contest with a prepared exploit that has no value outside of such a contest) changes that fact.
There are currently no viral threats on the Mac to worry about; the only malware anyone has yet reported for the Mac are ham-fisted efforts to trick users into manually authorizing software installations that do bad things. This short list of “malware” is simply not a real world risk to users, and certainly is not even close to being anything like the problems that plague Windows, no matter how much sensationalistic emphasis the tech press attempts to frost over reality with.
Trying to equate things on the Mac and Windows behind words that lack much meaning is like trying to equate a hangnail with an ebola virus infection by calling both “health issues.”
Zum Vergrößern anklicken....

 
Warp-x

Warp-x

Prinzenapfel
Registriert
08.09.05
Beiträge
555
Ehrlich gesagt hat Apple mit dieser "unterlassenen Hilfeleistung" den Gipfel der Inkompetenz erklommen, ich verstehe nicht warum auf die Community des Heise-Verlages geschimpft wird - die Sicherheitsluecke ist keine Luecke sondern ein offenes Tor. Mich wundert es, dass wir auf heise noch nichts ueber weltbeherrschende Mac-Botnetzen gelesen haben. ;)

Apple, start your copy printers and steal something useful, too: A patch day!
 

Retrax

Schweizer Orangenapfel
Registriert
04.01.04
Beiträge
4.015
Die Lücke scheint mit Safari 4 Final gefixt:

Webkit

CVE-ID: CVE-2009-1712

Available for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP or Vista

Impact: Visiting a maliciously crafted website may lead to information disclosure or arbitrary code execution

Description: WebKit allows remote websites to load Java applets from the local system. Local applets may not expect to be loaded remotely and may allow the remote site to execute arbitrary code or otherwise grant unexpected privileges to the remote site. This update addresses the issue by preventing remote websites from loading local applets.
Zum Vergrößern anklicken....

Quelle

Edit: Leider doch nicht. Der Proof-of-Concept Exploit funktioniert weiterhin (auch mit Safari 4 Final).
 
Zuletzt bearbeitet:
apple-byte

apple-byte

Stahls Winterprinz
Registriert
22.12.05
Beiträge
5.136
6a00d83451c7b569e2011571162625970b-pi
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten