Also wenn man mit Firefox unter mac arbeitet gibts die sichers Lücke nicht, oder?
nur unter Safari. welche programme benutzen libc?

Jaja, der Bugfix muss ausführlich getestet werden und bla bla, zuletzt wars bei der bind Lücke der fall...

edit: Julio, du kannst dir so eine Funktion notalls auch einfach selber schreiben.

peinlich peinlich

Wurde denn bisher JEMALS irgend eine der ach so bösen Sicherheitslücken in OS X wirklich nachweisbar ausgenutzt? Und wenn nicht - warum nicht? Wenn es doch so einfach geht und so gefährlichen Schaden anrichten kann. Man sollte meinen, dass die Verlockung doch groß ist, jetzt - nachdem der Mac sozusagen im Mainstream angekommen ist....

Und das ist nur als "normale" Frage gemeint, ich möchte damit das Problem nicht herunterspielen oder in irgend einer Weise die Zeitdauer die bisher verstrichen ist seit dem das Problem bekannt ist, rechtfertigen.
Es interessiert mich nur einfach

....nicht dass jetzt alle wieder gleich auf mich los gehen...

Die Frage kann ich nicht nachvollziehen, soll denn eine Lücke erst ausgenutzt werden, damit sie dann evtl. beseitigt wird?

aufs Auto bezogen: "Die Schwachstelle existiert, bisher gab es aber keine Verletzte."

Wenn's der schon weiß, wird es bestimmt bald auch der Hacker von nebenan wissen

ExMacRabbitPro
Und wie, an vielen Hackercontests waren solche Lücken der Grund wieso OS X als erstes geknackt wurde.
Auch sonst werden sicher viele Angriffe so ausgeführt...OS X mag kaum Viren haben aber desswegen kann man es genauso wie Windows angreiffen...

ExMacRabbitPro:

Stichwort: Verbreitung und der bislang nicht genügend ausgeprägten Lust und Laune von Crackern, hier in Aktion zu treten, weil der Effekt, den man da erzielen kann (sowas wird i.d.R. ja auch immer aus dem Hintergrund bezahlt, und die gezahlten Summen steigen mit der Reichweite bzw. mit der Größe der zu erreichenden Basis), aufgrund der fehlenden Verbreitung noch nicht groß genug ist.

Wo denn? Auf dem Desktop? Mainstream ist da immer noch dick und fett Windows. Und bzgl. Server ist's Linux (und nicht MacOSX). Und bzgl. Linux und entsprechenden Server-Exploits hat's da schon genügend Fälle gegeben und gibt es, die anzeigen: Angriffe auch auf die Unix-Plattform finden statt. Und zwar dort, wo es sich lohnt (in diesem Fall eben Linux, weil das auf den Servern weltweit recht gut vertreten ist inzwischen). Und da MacOSX ein Unix ist, kannst Du Dir leicht selber ausmalen, wie das Szenario aussähe, wenn MacOSX *wirklich* mal im Mainstream angekommen sein wird und damit tatsächlich im Fokus der Schadprogrammschreiber angekommen ist. Bislang profitieren die Mac-User allein davon, dass die MacOSX-Plattform eben noch zu wenig verbreitet ist und damit als lohnendes Ziel relativ uninteressant ist. Das kann sich aber schlagartig ändern. Bzw. wird sich ändern, wenn die Zuwachsraten dort weiterhin anhalten.

Bisher profitiert der gemeine Mac-User allein von seinem Glück, dass er bislang von den Malware-Schreibern verschont worden ist. Wen sich dieser Aufmerksamkeitsfokus bei jenen jedoch mal ändern sollte (und die Wahrscheinlichkeit in dem Punkt wird mit steigender Verbreitung von MacOSX nicht kleiner sondern größer) -- dann kann und wird sich da der Wind sehr schnell drehen. Und da kann der gemeine Mac-Nutzer eigentlich nur hoffen und beten, dass spätestens dann Apple aufgewacht sein wird und seine Patches so schnell und zeitnah an den Mann bringt, wie alle anderen Unix- und Linux-Distributoren es seit langem auch schon tun. Denn das wäre fatal, wenn Apple da seine bisher zeitlich gesehen gemütlichen und großzügigen Patch- und Update-Zyklen beibehielte und allein der Faktor "Hoffen und Beten" den Benutzer beruhigen kann, dass in der Zeit, wo sein System ungepatcht ist und Apple nicht liefert, bloß nix passiere...

Für diesen Hinweis von MacTechnews bin ich dankbar. Denn ich hoffe, dass auch Mitarbeitende von Apple Deutschland die Notiz lesen und diese offenbar sträflich zurückgestellte oder sogar vergessene Sicherheitslücke endlich schließen.

Ich finde es beunruhigend, wie gefährdet die Userdaten auf so einfache Weise über etliche Monate sind. Sobald der Marktanteil deutlich gestiegen ist, was wir erwarten dürfen, werden die Angriffe auf Apple-Computer sich häufen. Will Apple so nachlässig bleiben, werden wir alle verstärkt gefährdet sein.

Äusserst schwache Leistung von Apple, die Lücke hätte schon lange gefixt werden müssen.

Und als normaler Benutzer muss man damit jetzt leben, richtig? Oder gibts Tips wie sowas dann nicht durchkommt? Anstatt Safari Firefox benutzen?
...

Hat jetzt jemand sachlich und unemotional meine Frage beantwortet?

Hmm.... nö....

Das neue Apple Tablett ist halt wichtiger als so schnöde Sicherheitsfragen!

Das ist leider falsch. Die "Hacks" waren von langer Hand vorbereitet. Sie mussten nur noch ausgeführt werden. Und wo ist es wohl am attraktivsten, so etwas zu tun?

ist zwar traurig das ganze aber ich würde doch gerne mal die Lücke in OS X sehen. Also mal ein Beispiel sehen. Weiterhin würde mich interessieren was Apple dazu sagt. Was Hr. Maksymilian Arciemowicz von SecurityReason sagt interessiert mich weniger. Der will sich ja nur bekannt machen. Mich würde aber mehr interessieren was genau da passiert und dazu wäre ein Beispiel doch sehr hilfreich. Aber das gibts es wahrscheinlich nicht.

sver:

Richtig. Du musst warten, bis Apple einen Patch liefert.

Das Problem liegt tiefer verborgen. U.a. bei einer zentral vom System und dessen Programmen und Komponenten genutzten Bibliothek bzw. auf Dateien, die direkte Auswirkungen auf diese zentral benutzte Bibliothek haben.

Damit fährst Du im Moment zumindest in dieser Hinsicht ein wenig sicherer insofern, weil Mozilla Firefox hier gefixt hat.
Der Fehler ist nicht nur in einer einzigen Bibliothek zu finden, sondern auch in anderen (teilweise ähnlichen) Dateien.

Alle anderen haben also ihre Hausaufgaben offenbar gemacht und ihre Schwachstellen bzgl. dieses Problems inzwischen schon längst gefixt. Mit einer Ausnahme: Apple.

sierkb
Deine Aussage aus dem ersten Post stimmt erwiesener Maßen nicht!

Für das klassische MacOS gab es einige hundert Viren, Würmer, etc. bei einem Markanteil von kleiner 5 %.

MacOS X hat mittlerweile einen Marktanteil von 8-10 % und müsste nach Deiner Theorie somit schon längst hundertfach von Schadsoftware heimgesucht worden sein.

Ist es aber nicht!

Die Konklusio daraus kann also nur sein, dass MacOS X wesentlich sicherer ist als andere Systeme.
Dafür spricht auch, dass die bisher gezeigten Hacks und proofs of concept nur funktioniert haben, wenn der Angreifer selbst an dem Rechner sass und diese Gefahr können wir doch wohl alle ohne großen Aufwand ausschliessen.

Apfelkind:

Man kann sich seine Welt auch schönreden bzw. laut im Walde pfeifen, wenn einem nicht gefällt was einem droht, wenn's so weiterläuft...

Ich würde gerne mal die Statistik sehen wo Mac 8-10% Marktanteil hat! Nur so aus Interesse worauf ihr eure Argumente stützt.
Ich finde hier nur 5,6%

Apfelkind:

In welchem Land der Erde (USA alleine? Und außerhalb der USA? In Europa? In Asien?)? Global betrachtet? Versuche mal global zu denken, welchen Anteil hat dann MacOSX? Garantiert deutlich weniger als Deine 8%-10%!

Und selbst im Fall von 8%-10% global -- wäre das ausreichend für Schadprogramm-Entwickler, aktiver zu werden? Sicher nicht. Bringt noch zu wenig Geld. 8%-10% sind Peanuts, das müssten schon deutlich mehr sein, damit es sich finanziell für solche Leute lohnt.

Ich mag Apple ja sehr, aber das Updateverhalten ist echt miserabel, auch wenn ich jetzt effektiv gesehen für den jeweiligen User wenig Gefahr im Gesamten sehe, d.h. das die jetzige Sicherheitslücke wohl kaum ausgenutzt werden wird.

sierkb

Ich rede nichts schön, sondern schildere nur die Fakten und diese widersprechen Deiner Behauptung, das der Marktanteil der entscheidende Faktor ist.

Das entscheidende Argument sind nicht die 8-10 %, sondern der wesentlich höhere Marktanteil von MacOS X im Vergleich zum klassischen OS, welches bekannter Maßen auch Schadsoftware kannte.


sver
Die monatlich veröffentlichten Zahlen von netApplications und anderen, welche ja auch regelmässig hier bei Mactechnews veröffentlicht werden.

Apfelkind:

Kannst ja mal einschlägigen Malware-Schreibern bzw. Sicherheitsexperten, die sich damit richtig auskennen und wissen, wie die Stränge laufen, zuhören bzw. lesen, was die so zu dem Thema zu sagen haben...

Das ganze Thema ist ein Riesengeschäft inzwischen. Was die Malware angeht, größtenteils mafiös organisiert. Und unter der Decke steckend mit Spam-Mafia und Co. Und da wird knallhart und rücksichtslos gerechnet. Und wenn die Mac-Plattform von denen als "reif" und aufgrund der Verbreitungszahlen als finanziell "lohnend" betrachtet wird, dann ist sie eben reif. Und dann wird der Fokus ausgeweitet auch auf diese Plattform.

Alles nur Panik Mache. Wenn es sich für die "Kriminellen" lohnen würde, würden diese auch zuschlagen. Egal ob 5, 10 oder 80 % Marktanteil.

zantetsu:

Unterhalte Dich da mal mit diversen Unix-Server-Administratoren, für die sind derlei Angriffsszenarios (teilweise mit Erfolg!) seit Jahren teilweise harte, unangenehme Realität im Alltag. Die werden Dich in dem Punkt da ganz sicher NICHT bestätigen.

Ich verweise auf das genannte Beispiel Unix-/Linux-Server. Dort schlagen sie schon längst zu. Bzw. versuchen es. Und zwar regelmäßig. Marktanteil davon: sicher deutlich größer als 10%, wenn nicht sogar größer als 70% (den Rest im Server-Bereich bilden da wahrscheinlich Windows-Server). Der Anteil von MacOSX im Server-Bereich dürfte da wohl eher unbedeutend sein.

Siehe zuvor Gesagtes. Bzgl. Desktop-Bereich wächst der Anteil von MacOSX immer mehr (obwohl immer noch verschwindend klein im Verhältnis zum Windows-Desktop -- weltweit betrachtet), bzgl. Server-Bereich ist der Anteil von MacOSX weltweit betrachtet nicht der Rede wert. Aber Linux hat beispielsweise im Serverbereich ziemlich hohe, in einigen Bereichen sogar deutlich dominierende Marktanteile (in den letzten Jahren zuungunsten klassischer Unices wie z.B. Solaris, AIX oder HP/UX). Und auch da finden Angriffe und das Ausnutzen von Exploits statt. Also nicht nur auf der Windows-Plattform.

+++Eilmeldung+++
In China ist wieder ein Sack Reis umgefallen. Wie soeben bekannt wurde, rieseln große Mengen Reiskörner durch die Sicherheitslücke in Mac OS X und wandeln sich dort mit Hilfe von viel heißer Luft in Reiscracker um. Kriminelle chinesische Reisbauern haben dies Lücke nun erkannt und nutzen Sie aus, indem sie reihenweise Reissäcke absichtlich umwerfen und somit große Mengen Reiscracker den Weltmarkt überschwemmen.

Die Kartoffel-Chips-Hersteller Ciao, Crunchips und Pringles laufen sturm und verlangen ein sofortiges schließen der Reiskorn-Sicherheitlücke.

@sierk

Also wenn ich ein Hacker wäre, würde ich doch das System angreifen, bei dem ich die meisten Chancen hätte auch durchzukommen. Dann ist mir doch der Marktanteil egal. Man hört ja häufiger davon, dass Apple länger braucht die Sicherheitslücken zu schließen. Dann nutz ich das doch aus. Aber ich muss auch zugeben, dass ich keine Ahnung davon habe wie ein Hacker so vorgeht.

zentetsu:

Der Marktanteil bzw. der damit direkt korrelierende errreichbare Schaden bestimmt in den Kreisen aber das Salär mit dem solche Leute bezahlt bzw. motiviert werden!

Abgesehen davon: jetzt male Dir mal selber aus, auf welche Benutzer-Basis ein solcher Schadprogramm-Schreiber wohl mit der durchschnittlichen Mac-Gemeinde trifft, sollte er sie ins Auge fassen. Auf eine in Sicherheitsfragen und Sicherheitskultur überwiegend sehr gut aufgestellte, informierte und eingeübte Nutzerbasis? Auf überwiegend gesenkte oder überwiegend hochgehaltene Schilde?

Der Schaden würde dadurch im Grunde durch die überwiegend vorhandene Ahnungslosigkeit und Unbedarftheit bzgl. solcher Dinge doch sich noch verstärkt. Aber die User-Basis ist anscheinend noch nicht groß genau, obwohl sie an sich (teilweise ja auch noch durch gesenkte Schilde und ausbleibende zeitnahe Patches seitens Apple) für sich genommen ja schon ein lohnenswertes Ziel wären, um mit Pauken und Trompeten dem einen oder anderen Mac-Fanboy dessen rosarote Brille wegzureißen. Schon alleine das wäre der Mühe sicher wert. Aber es wird wohl noch zu schlecht bezahlt, weil noch nicht lohnend genug, weil der zu erreichende Schaden (bezugnehmend auf die Verbreitung) potentiell jedenfalls offenbar noch nicht groß genug.

Auch dort hat sich eben ein Markt gebildet, auch dort werden die Preise nach nichts anderem als nach üblichen Marktgesichtspunkten gemacht.

Ich würde mich jedenfalls durch dieses "Glück gehabt bisher" nicht einlullen lassen und mich dadurch in falscher, trügerischer Sicherheit wiegen. Denn so manchen reißt es dann umso härter und unangenehmer aus seinen süßen Träumen raus, wenn sich die Lage einmal ändert. Und sie wird sich ändern. Das sieht man im unixoiden Server-Bereich, so ja -- grob gesagt -- umgekehrte Verhältnisse herrschen wie bzgl. MacOSX (MacOSX ist auf dem Desktop nennenswert vertreten, dafür im Server-Bereich "unter ferner liefen", Linux bspw. hingegen ist im Desktop-Bereich "unter ferner liefen", dafür aber im Server-Bereich tonangebend. Und in genau diesem Server-Bereich finden eben mittlerweile auch regelmäßig Angriffe und Exploit-Ausnutzungen statt -- nicht nur, wenn Linux drauf läuft). Es hat also sehr wohl was mit der verbreitung zu tun. Und einschlägige Preislisten, die in der Schadprogramm-Mafia kursieren und die verschiedene Sicherheits-Experten auch schon mal zu Gesicht bekommen haben, die bestätigen das auch alles.

Das kommt noch obendrauf! Im Grunde ein gefundenes Fressen bzw. ein unnötiger Anreiz für Schadprogrammschreiber, je länger sich ein solcher Zustand etabliert und sie fest damit rechnen können, dass dem genau so ist!

sierkb
Hallo aufwachen!

Ich habe doch schon aufgezeigt, dass die Macgemeinde ein lohnendes Ziel ist, denn sonst hätte es für das klassische MacOS, welches eine wesentlich geringere Verbreitung wie MacOS X hatte, keine Angriffe gegeben.

Apfelkind:

Selber! Denn wir leben nicht mehr in Zeiten von MacOS9, und die Schadprogrammschreiber und die dahinterstehende Mafia haben sich inzwischen professionalisiert. Das alles lässt sich nicht mehr mit alten MacOS9-Zeiten vergleichen, wo einzelne Script-Kiddies und Einzelgänger da mal den Ton angeggeben haben und ihr Glück bzw. ihre "15 Minuten Ruhm" gesucht haben!

Inzwischen ist das alles ein Teil eines weltweit organisierten und operierenden Netzes der organisierten (Banden-)Kriminalität (zusammen mit der Spam-Mafia, mit der man Hand-in-Hand arbeitet). Ein Beispiel "Früher zu OS9-Zeiten" taugt da nicht mehr. Die Prämissen, Maßgaben und Voraussetzungen sind ganz andere inzwischen und werden auch ganz anders bezahlt und motiviert als noch zu OS9-Zeiten. Da wird nicht gekleckert, da wird geklotzt. Und wenn es sich noch nicht lohnt zu klotzen, dann wird eben woanders geklotzt -- da wird gar nicht erst versucht, auf kleinem Niveau zu kleckern, da geht man gleich dorthin, wo man klotzen kann. Und das geht nur und allein über die Verbreitungsbasis bzw. über die Nutzerzahlen...