Könnte bitte einmal darauf eingegangen werden was es mit der Kernvoraussetzung für einen Angriff auf sich hat? Namentlich die "privilegierte Netzwerkposition" / "privileged network position".
Zuletzt bearbeitet:
-
Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
Näheres könnt Ihr hier nachlesen: AGB-Änderung -
Was gibt es Schöneres als den Mai draußen in der Natur mit allen Sinnen zu genießen? Lasst uns teilhaben an Euren Erlebnissen und macht mit beim Thema des Monats Da blüht uns was! ---> Klick
Feature Nach Update für iOS, auch OSX von kritischer Sicherheitslücke betroffen
- Ersteller Michael Reimann
- Erstellt am
Die Voraussetzungen würden mich auch interessieren. Wo hängt sich der "Mann in der Mitte" ein? Ich habe gestern Abend irgendwo gelesen, dass man im selben Netzwerk sein muß. Ich weiß nur nicht mehr wo ich das her habe.
Also müsste der Angreifer erst mein Wlan knacken bzw. mitschneiden?
Also müsste der Angreifer erst mein Wlan knacken bzw. mitschneiden?
Das halte ich doch für übertrieben und verfrüht. Diese Lücke ist gerade mal seit 48 Stunden bekannt und die Wahrscheinlichkeit, dass du in dieser Zeit auf einer "bösartigen" Webseite warst, oder auf einer seriösen Webseite, die durch einen Hack beeinflusst wurde, geht wohl gegen Null.
Edit:
Und das alles dann auch nur, wenn die ursprüngliche Meldung, dass sich ein Angreifer im gleichen lokalen Netz aufhalten muss, nicht zutrifft.
Natürlich spricht nicht wirklich etwas gegen dein Vorhaben, aber du machst dir viel zu viel Panik.
Edit:
Entschuldigung für den Doppelpost.
Edit:
@raven http://www.heise.de/newsticker/meldung/SSL-Bug-in-Mac-OS-X-Apple-verspricht-Update-2121738.html
Zuletzt bearbeitet:
- Registriert
- 18.03.09
- Beiträge
- 8.821
Jetzt auch in der Tagesschau http://www.tagesschau.de/wirtschaft/apple338.html
Sent from my iPad using Apfeltalk mobile app
Sent from my iPad using Apfeltalk mobile app
- Registriert
- 18.03.09
- Beiträge
- 8.821
Und an der Stelle macht sich dann wieder bemerkbar, wie verdammt wichtig Zwei-Faktor-Verifikationen für Accounts sind, so wie kürzlich auch für Apple IDs in Deutschland eingeführt.
Dann ist so ein Passwort-Klau über eine fehlerhafte SSL-Verbindung gleich gar nicht mehr so "schlimm".
Dann ist so ein Passwort-Klau über eine fehlerhafte SSL-Verbindung gleich gar nicht mehr so "schlimm".
raven
Golden Noble
- Registriert
- 12.05.12
- Beiträge
- 19.202
Also noch mal für langsam denkende, Angreifer muß im selben Netzwerk sein, oder auf einer Webseite geraden die infiziert ist, oder für Leute die sich in Fremde bzw. öffentliche Netze/Hotspots einwählen wie sie in Hotels oder Restaurants angeboten werden?
Für Mobile Devices ist ein Update ja bereits veröffentlicht worden. Im Moment wird's also nur für Rechner mit aktuellem Mac OS in öffentlichen/anfälligen Netzwerken kritisch. Im heimischen Netzwerk wird es für eben diese dann gefährlich, wenn Dritte "privilegierten Zugang" auf deinen Switch/Router erlangt haben. Davon ist bei der derzeitigen Medienhysterie aber kaum etwas zu lesen...
Genau das macht man ja auch nicht.
Man blockt nur unbekannte Verbindungen, und bei allem was du aufgezählt hast, weißt du doch worum es sich handelt.
Ja aber wenn ich auf die Testseite gehe und mir die Regel ansehe, die ich dann natürlich auch blockiert habe. Ist diese Regel identisch mit einer anderen von Safari, nur Port ist ein anderer.
Es gab in den letzten 10 Jahren imho einmal einen Fall dass Apple an einem Sonntag einen (auch sehr) wichtigen Bugfix rausgegeben hat.
Ich vermute dass morgen oder spätestens am Dienstag der Fix - vermutlich einzeln und inkludiert in 10.9.2 kommt.
raven
Golden Noble
- Registriert
- 12.05.12
- Beiträge
- 19.202
@Retrax Fr heute erwarte ich keinerlei Updates.
ich kann mich erinneren, dass vor vielen Jahren MS an einem Karfreitag ein Update fuhr. Eines das vollkommen versemmelt war. Damals war das ganze Netz voll mit Beschwerden. MS reagierte dann Tage später darauf. Zogen es zurück. Es waren ja Feiertage. Dumm nur für die welche das Update damals schon zogen.
ich kann mich erinneren, dass vor vielen Jahren MS an einem Karfreitag ein Update fuhr. Eines das vollkommen versemmelt war. Damals war das ganze Netz voll mit Beschwerden. MS reagierte dann Tage später darauf. Zogen es zurück. Es waren ja Feiertage. Dumm nur für die welche das Update damals schon zogen.
Zuletzt bearbeitet:
speedlimiter
Reinette Coulon
- Registriert
- 28.06.09
- Beiträge
- 936
Ihr ratet doch nicht im Ernst seinen Standardbrowser für ein paar Tage zu wechseln? Das steht doch in keinem Verhältnis zum Nutzen.
Die Seiten, die den Exploit ausnutzen, dürften wahrscheinlich an einer Hand abzuzählen sein. Apple wird baldmöglichst einen Fix bringen. Zudem sollte der Angreifer "privilegierten" Zugriff im eigenen Netz haben.
Muss denn immer gleich so dermaßen übertrieben werden? Wirklich? Wegen eines Tweets eines "Sicherheitsexperten" …
Bild-Niveau
Die Seiten, die den Exploit ausnutzen, dürften wahrscheinlich an einer Hand abzuzählen sein. Apple wird baldmöglichst einen Fix bringen. Zudem sollte der Angreifer "privilegierten" Zugriff im eigenen Netz haben.
Muss denn immer gleich so dermaßen übertrieben werden? Wirklich? Wegen eines Tweets eines "Sicherheitsexperten" …
Bild-Niveau
Zuletzt bearbeitet:
Der Fehler spricht leider sehr gegen Apples Qualität bei der Sicherheit. Bei solch einer wichtigen Bibliothek stellt sich die Frage, wie solch ein Code ins Repository gelangen konnte. Das ist aber noch nicht so schlimm, denn Fehler passieren, nur wie konnte der Code auch noch weiter bis in ein Release kommen? Im Falle solch einer Bibliothek hätte jemand draufschauen müssen, mindestens aber ein Programm zur Code-Analyse hätte drüberlaufen müssen, und der Compiler gab sicherlich eine Warnung aus.
Zuletzt bearbeitet:
Also letztes Jahr. Erwarte ich auch. Bei allem, was nicht sichtbar und bemerkbar ist, läßt sich aber gut Zeit und Geld sparen; nur die Gefahr, einen Ruf zu verlieren, übt sanften Druck aus. So zieht sich die Korrektur über Woche und Monate.
HeinerM
Galloway Pepping
- Registriert
- 13.09.13
- Beiträge
- 1.357
ottomane
Golden Noble
- Registriert
- 24.08.12
- Beiträge
- 16.387
Eine Frage aber bleibt: Wie ist es möglich, dass so ein kapitaler Fehler entsteht und bei x Pre-Releases, Tests usw. nicht auffällt? Jemand, der an solchen Modulen arbeitet, dürfte ziemlich genau wissen und prüfen, was er da macht. Und dass genau diese Module genauestens getestet werden, ist ja wohl eigentlich auch selbstverständlich.
Und da fiel das nicht auf?
Ich vermute, dass irgendein Typ das absichtlich gemacht hat. Offene Rechnung oder so. Oder die NSA. Ach nein, dazu ist der Bug zu offensichtlich.
Und da fiel das nicht auf?
Ich vermute, dass irgendein Typ das absichtlich gemacht hat. Offene Rechnung oder so. Oder die NSA. Ach nein, dazu ist der Bug zu offensichtlich.
2003-2024 Apfeltalk | Made on a Mac