1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  2. Unsere jährliche Weihnachts-Banner-Aktion hat begonnen! Wir freuen uns auf viele, viele kreative Vorschläge.
    Mehr dazu könnt Ihr hier nachlesen: Weihnachtsbanner 2016

    Information ausblenden

Tag der Abrechnung: Month of Apple Bugs

Dieses Thema im Forum "Magazin" wurde erstellt von commander, 03.02.07.

  1. commander

    commander Baldwins roter Pepping

    Dabei seit:
    25.02.04
    Beiträge:
    3.210
    Betrachtung der gefundenen Lücken


    Mit gemischten Gefühlen wurde der von einigen Crackern ausgerufene 'Month of Apple Bugs' im Januar 2007 erwartet. Die Crackertruppe hatte die Veröffentlichung etlicher schwerwiegender Lücken in Mac OS X angekündigt - allerdings sollte Apple vorher nicht über die Details in Kenntnis gesetzt werden, um angeblich mehr Druck auf den Hersteller auszuüben. Das stellte für viele Beobachter die Aufrichtigkeit der Cracker in Frage, denn sollten tatsächlich schwerwiegende Lücken der Öffentlichkeit Preis gegeben werden, so bestünde die Gefahr von Angriffen auf Mac User.

    Wie angekündigt startete der MoAB am 1.1.2007 mit einem nicht zu verachtendem Bug in Apples Quicktime-API (siehe News vom 04.01.2007). Doch schon der 2. und viele folgende Bugs fanden sich nicht in Apple-Produkten, sondern in Software für die Mac-Plattform - das war zwar von vornherein auf der Webseite des MoAB-Teams angekündigt, führte jedoch zu einigem Spott angesichts des Mottos 'Apple-Bugs'. Etliche der 'echten' Apple-Bugs bauten aufeinander auf und waren somit nur Varianten ein und derselben Lücke.

    Auf der Gegenseite formierte sich alsbald um Landon Fuller eine Truppe fähiger Mac-Spezialisten, die Patches für die meisten Lücken bereitstellte (via APE). Die sich fast zwangsläufig ergebende Kontroverse zwischen den beiden Lagern spitze sich ein erstes mal zu, als ausgerechnet eine Lücke in dem von Fullers Team verwendetem Tool APE veröffentlicht wurde (Bug Nr. 8).

    Die findigen Cracker taten auch ihrerseits einiges, um ihre Seriosität zu untergraben. Die teilweise albernen Bilder auf den Bug-Seiten sowie äusserst flapsige Kommentare führten allenthalben zu Verwunderung. Weiterhin wurden Neugierige, die Seiten der noch nicht veröffentlichten Bugs anzusurfen suchten, mit extrem abstossenden Pornobildern konfrontiert. Des weiteren wurden Colloquy-User vor der Veröffentlichung des Bugs 16 angegriffen, das MoAB-Team bestritt aber, daran beteiligt gewesen zu sein. Die Scherze der Hacker gipfelten schliesslich auf der Veröffentlichungsseite des Bugs 28, die über ein manipuliertes JPEG2000 - Bild die CoreGraphics-Library in eine Endlosschleife schickt - mit CPU Maximallast. Dass das kein Zufall war zeigt der dazugehörige Source-Code:

    Code:
    <img src="images/paul.jpg" width="160" alt="The Beatles and Bugs Own Apple"/>
    <img src="bug-files/heat-up.jp2" alt="" height="1" width="1" />
    <!-- Never use the macbook at bed again when browsing the MoAB or you will fry your balls, looper -->
    
    Frei übersetzt: "Den Beatles (Käfern) und den Bugs (Wanzen) gehört Apple" und: "Benutze kein MacBook im Bett wenn Du die MoAB Seiten ansurfst, sonst grillst du Deine Nüsse, Schleifendreher!", in Anspielung auf die entstehende Abwärme bei CPU-Volllast.

    Ungeachtet des unseriösen Verhaltens muss man dem MoAB-Team zugestehen, immerhin 5 haarsträubende Fehler in Mac OS X gefunden zu haben. Damit hat der MoAB der Mac-Plattform vielleicht eher genützt als geschadet, denn über ausgenutzte Exploits von dritter Seite wurde bisher nichts bekannt. Apple hat inzwischen mit dem letzten Security-Update die erste Schwachstelle gestopft.

    Die Lehre, die man aus dem MoAB ziehen kann, ist, dass ein Unverwundbarkeitsgefühl, das bei vielen Apple-Usern vorherrscht, fehl am Platze ist. Mac OS X ist Software und keinesfalls fehlerfrei. Selbstredend geniest man durch die relative geringe Verbreitung und dem soliden Unterbau des Betriebsystems eine weit größere Sicherheit als dies bei Windows-Rechnern gegeben ist, und so existieren immernoch keine funktionierenden Viren für Mac OS X. Dennoch sollte bei Apple-Fans langsam die Erkenntnis erwachsen, dass ein Virenscanner kein Windows-Teufelszeug ist, auch bei den Tux (Linux & Co) ist das längst bekannt. Spätestens wenn die ersten wirklichen Viren (nach immerhin 6 Jahren OS X) auftauchen, sollte man gewappnet sein. Die Wahrscheinlichkeit dafür hat durch den MoAB weder ab, noch zugenommen - viele Löcher können im Moment immerhin händisch gepacht werden - aber eventuell wurden auch Cracker, die nicht nur über schlechten Geschmack, sondern darüber hinaus noch über kriminelle Energie verfügen auf den Plan gerufen.

    Gemeinde, seid vorbereitet.

    Eine kleine Bewertung der veröffentlichten Bugs und ihre Patches findet ihr im Anhang.

    Gruß, Euer

    .commander
     

    Anhänge:

    • MOAB.pdf
      Dateigröße:
      29,3 KB
      Aufrufe:
      478
    #1 commander, 03.02.07
    Zuletzt bearbeitet: 09.02.07
    mullzk, Walli, nanuk und 15 anderen gefällt das.
  2. Peter Maurer

    Peter Maurer Carmeliter-Renette

    Dabei seit:
    16.03.04
    Beiträge:
    3.274
    Danke fuer die schoene Zusammenfassung!

    Ich frag' mich immer, wie viele das wirklich sind. Wahrscheinlich ist es nur einer, und der heisst Artie MacStrawman. Letzterer wird uebrigens auch in diesem lesenswerten Abriss zum selben Thema erwaehnt -- nicht ganz ohne Grund. Wer noch weniger lesen will, kann sich auch die gewohnt pointierte und witzige Zusammenfassung bei The Macalope zu Gemuete fuehren.

    Und ehrlich gesagt bleiben bei mir hauptsaechlich zwei Eindruecke haengen:

    1. Wie commander schon sagt: Mac OS X ist nicht absolut sicher. Theoretisch. Praktisch ist die Gefahr derzeit aber ueberraschend gering; und sie wird hauptsaechlich von Leuten aufgeplustert, die Beruehmtheit suchen (siehe 2.) und/oder wirtschaftliche Interessen haben (Paradebeispiel: zwei Heissluftproduzenten namens Maynor & Ellch).

    2. Die MoAB-Initiatoren sind eitle Kleinkinder mit schwerem Aufmerksamkeitsdefizitsyndrom (*). Auch das hat commander schon schoen illustriert, aber einen Aspekt kann man noch hinzufuegen: Reparierte Sicherheitsluecken werden vom MoAB nicht erwaehnt; denn schliesslich wuerde die Anerkennung der teilweise sensationell schnellen Reaktionen (z.B. von OmniGroup und Panic) das Katastrophenszenario schon wieder schmaelern. Andererseits ist das nur konsequent: Wer die Leute nicht vorwarnt, weil er weiss, dass die meisten Bugs dann bis zur Veroeffentlichung repariert gewesen waeren, der hat ja schon bewiesen, dass es ihm nicht um die Sache geht.

    --

    (*) Dies ist einer der seltenen ADS-Faelle, die zugleich aktiv und passiv sind:
    • Aktiv: Die Verantwortlichen haben im klassischen ADS-Sinne eine zu kurze Aufmerksamkeitsspanne, um die Heilung der von ihnen angeprangerten Sicherheitsluecken wahrzunehmen und zu dokumentieren.
    • Passiv: Ausserdem leiden sie offensichtlich stark unter dem Gedanken, ihnen wuerde zu wenig Aufmerksamkeit zuteil. Der MoAB dient hier sozusagen als Selbsttherapie.
    Zufrieden jetzt, Marco? :D
     
    #2 Peter Maurer, 03.02.07
    Zuletzt bearbeitet: 03.02.07
    Macholino und smb gefällt das.
  3. stoebe

    stoebe Uelzener Rambour

    Dabei seit:
    23.12.05
    Beiträge:
    371
    Vielen Dank für diese Zusammenfassung, commander. :)
     
  4. marcozingel

    marcozingel Cox Pomona

    Dabei seit:
    07.12.05
    Beiträge:
    7.477
    Zitat Peter Maurer

    2. Die MoAB-Initiatoren sind eitle Kleinkinder mit schwerem Aufmerksamkeitsdefizitsyndrom.

    Aus medizinischer Sicht ist das so nicht ganz korrekt mit dem ADS Aufmerksamkeitsdefizitsyndrom. ;)

    Und was lernen wir aus der ganzen Aktion.

    Totale Sicherheit gibt es in keiner Lebenssituation.
    Nur eines ist sicher,wir gehen alle nackt von dieser Erde.

    Und verunsichern lassen,sollte man(n) sich auch von Niemanden.o_O
     
  5. commander

    commander Baldwins roter Pepping

    Dabei seit:
    25.02.04
    Beiträge:
    3.210
    Korrekt - kurzzeitig war ich zwar über die Quicktime-Lücke und den root-exploits entsetzt, bei ruhiger Betrachtung jedoch wurde schnell klar, das es sich um recht triviale Fehler handelt und nicht um fundamentale Design-Schnitzer wie bei einem anderen verbreiteten OS.

    Gruß,

    .commander
     
  6. Macgyver

    Macgyver Oberösterreichischer Brünerling

    Dabei seit:
    01.11.06
    Beiträge:
    718
    also ist doch egal ob es sicher ist oder nicht... wenn sich leute damit ausseinander setzen und bugs suchen ist das doch voll ok.. ich finde es gut!! somit macht man Mac OS noch sicherer als es schon ist !

    so können die entwickler sich schon auf leopard einstellen und die bugs da fixen!
     
  7. Macholino

    Macholino Adams Parmäne

    Dabei seit:
    02.08.04
    Beiträge:
    1.303
    Grundsätzliche Sicherungsmaßnahmen sind keinesfalls verkehrt. Dein Artikel, commander, verknüpft mit dem wachsenden Thread über separate Adminaccounts sind ein erster und guter Schritt zur Sensibilisierung.
     
  8. Indigo0815

    Indigo0815 Rheinischer Winterrambour

    Dabei seit:
    05.01.05
    Beiträge:
    932
    Guten Abend allerseits,

    was heißt das jetzt für mich, der Nicht-ITler ist & schon Jahre
    lang glücklich mit Apples OSX ist.
    Über kurz oder lang, geht´s den Mac-Usern genauso,
    wie den Windows-Usern, die Virenverseuchte PC´s haben?
     
  9. commander

    commander Baldwins roter Pepping

    Dabei seit:
    25.02.04
    Beiträge:
    3.210
    Definitiv: Nein

    Ich denke, dass auch in Zukunft immer wieder mal Exploits (ausnutzbare Schwachstellen) gefunden werden, eventuell wird dafür der ein oder andere Schädling geschrieben - aber, das sieht man ja am MoAB ganz gut, die meisten Schwachstellen sind trivialer Natur, sodass ein Fix schnell und einfach gefunden ist. Ich glaube keinesfalls an eine Flut, eher an ein Tröpfchen im Jahr - wenn überhaupt.

    Durch die Softwareaktualisierung bleibt das System heutzutage meist uptodate, was das Zeitfenster für Schädlinge deutlich einschränkt. Die solide Basis von Mac OS X tut dann das ihrige - die Situation ist also vollkommen anders als bei Windows 'rotten by design' 2000/XP. Was ich bisher über Vista gelesen habe, deutet darauf hin, dass hier durch massive, umständliche Klimmzüge das System zwar sicherer ist als die Vorgänger, ob es der Realität standalten kann werden wir bald wissen. Lustige Exploits wie diesen wurden bereits gefunden ;)

    Für Mac-User gibt es nur ein paar Sicherheitstips:

    - nicht als Admin arbeiten
    - Systemupdates einspielen
    - Firewall einschalten
    - bei akuter Gefahr Virenscanner installieren

    Damit ist man schon auf einer ziemlich sicheren Seite.

    Gruß,

    .commander
     
    #9 commander, 03.02.07
    Zuletzt bearbeitet: 03.02.07
  10. KayHH

    KayHH Gast

  11. MacApple

    MacApple Lord Grosvenor

    Dabei seit:
    05.01.04
    Beiträge:
    3.469
    Den wichtigsten hast Du vergessen: Kopf einschalten! ;)

    MacApple
     
  12. commander

    commander Baldwins roter Pepping

    Dabei seit:
    25.02.04
    Beiträge:
    3.210
    Davon gehe ich bei den meisten Mac Usern von vornherein aus - aus dem Grund haben sie ja einen Mac ;) !
     
    TUL gefällt das.
  13. yjnthaar

    yjnthaar Schwabenkönig

    Dabei seit:
    07.06.04
    Beiträge:
    2.657
    Du sagst es Kay. :)
    Lustigerweise haben wir am Freitag eine Episode aufgenommen (noch nicht veröffentlicht), in der wir zeigen wie Mensch mit einer Playstaion Portable (PSP) unseren Podcast abbonieren kann. Und da Peer auch auf den "Bits und so" Geschmack gekommen ist, haben wir das gleich mit einem Audiopodcast - Bits und so eben - auch ausprobiert, davon abgesehen das er eh schon eine Episode auf dem Gerät hatte. :-D ;)

    Salve,
    Simon
     
  14. Indigo0815

    Indigo0815 Rheinischer Winterrambour

    Dabei seit:
    05.01.05
    Beiträge:
    932
    ...danke für deine Antwort, die mich für´s
    erste beruhigen wird, was meine Angst vor
    Viren & Trojanern auf meinem Mac anbelangt.
     
  15. Gunnar

    Gunnar Baldwins roter Pepping

    Dabei seit:
    27.12.03
    Beiträge:
    3.215
    Ja, danke für die eingehenden Worte Commander. Aber was mich doch an Moab sauer aufstösst ist doch folgendes.

    http://www.heise.de/newsticker/meldung/84611

    Sicherheit und die Hinweise darauf in allen Ehren, aber solche kindischen Verhaltensweisen und sogar noch Pornos als Error 404s, das geht doch zu weit.

    Gruss
    Gunnar
     
  16. TUL

    TUL Pferdeapfel

    Dabei seit:
    23.01.04
    Beiträge:
    80
    Danke Commander,

    ein wirklich gut recherchierter Artikel. Sachlich, nüchtern, objektiv. Hat mir sehr gefallen!

    Ciao

    Tul
     
  17. cws

    cws Pommerscher Krummstiel

    Dabei seit:
    04.01.04
    Beiträge:
    3.074
    Peinlich!

    Kein Bug im Sinn dieses Artikels, aber einfach unendlich peinlich.

    Man konnte es ja schon an vielen Stellen lesen: Der Taschenrechner kann nicht rechnen. Eine alte Meldung bei Heise.

    Ich erinnere mich an die hämische Diskussion vor Jahren über Fehler in einem der INTEL-Prozessoren, der auch zu Rechenfehlern führen konnte, war das ein Geschrei um letztlich wohl nichts. Heute wird diese Peinlichkeit dezent übergangen, das ist auch vernünftig, denn es ist nicht mehr, als eine kleine Peinlichkeit. Eine große Peinlichkeit ist es, dass sie wohl noch nicht gefixed ist?
     

Diese Seite empfehlen