Und Neil Archibald ist nicht "irgendwer", O'Reilly ist zumindest keine schlechte Referenz behaupte ich jetzt mal.



Ganz davon abgesehen hat er ja auch selbst schon Sicherheitslücken in Mac OS X aufgedeckt, also weiß er, wovon er spricht.

Bin gespannt, wie Apple auf diese Vorwürfe reagiert?

PS: Orginal-Quelle

Und(?)

Bodo

Was und?
Ich denke es ist wichtig das Apple diese Frage auch ernst nimmt (auch wenn es im Moment noch keinen Virus gibt). Mit der (hoffentlich) höheren Verbreitung und der Möglichkeit von Viren die vielleicht auf alle Plattformen (Linux, Mac, Windows) einen Schaden anrichten können wächst auch das Risiko!

@Bodo: ich halte das zumindest für bedenklich, Du etwa nicht(?)

Es gab mal einen Prüfbericht von der NSA(National Security Agency). Den kannst du dir mal durchlesen.

Der ist zwar auf "Panther" bezogen, aber das ändert nichts. Es gibt immer wieder Leute und Firmen die sich wichtig machen wollen. Sicher, Apple wird auch darauf reagieren. Aber davon werden wir nur etwas mitbekommen wenn es ein Security-Update gibt.

"The page cannot be found"

Hacker schon drin?

Guckst du hier: (policeman)

Ah, danke.

Ich kenne natürlich das NSA-Paper und sogar einige andere.

Das ändert aber nichts an den Argumenten, die Neil Archibald parat hat. Ihn in eine Personengruppe einordnen zu wollen, die sich nur wichtig machen möchte, halt ich ehrlich gesagt für ziemlich arrogant/ignorant von Dir.

PS: es gibt von der NSA auch Papers, wie man z.B. Windows XP "sichert"...

Warum nennt er dann nicht ein paar Fehler beim Namen. Die Argumente sind nachvollziehbar. Aber kannst du dir auch vorstellen, das da auch durch Apple geprüft wird. Wo sind die Fakten? Bis jetzt ist das alles noch nicht mal ein Proof-of-Concept!

Proof-of-Concept (englisch "Beweis für die Machbarkeit") ist die übliche Bezeichnung für einen Meilenstein, an dem die prinzipielle Durchführbarkeit eines Vorhabens belegt ist. In der Regel ist mit dem Proof-of-Concept meist die Entwicklung eines Prototyps verbunden, der die benötigte Kernfunktionalität aufweist.

Ich sage nicht, dass es unmöglich ist.

Bodo

In dem Artikel nennt er doch einige Beispiele... ?!

bvk

Das "Problem" dürfte eher die Verbreitung sein. Viren oder Würmer für den Mac müssten schon Dosen als "Zwischenwirt" nehmen können um überhaupt weiter zu kommen.

Bodo
Weil es in Firmen, die sich mit sicherheitsrelevanten Aspekten in Software beschäftigen, üblich ist, dass man die entscheidenden Informationen nicht "in alle Welt hinausposaunt"?

Die teilweise noch aus NeXT Step stammenden Sachen wurden schon zu 10.3 Zeiten disskutiert....Einiges wurde inzwischen halbegs gefixt oder sollte man sagen zugeklebt (wie das mögliche Eindringen über Rechte von Installerpaketquittungen) anderes nicht. Böse Zungen behaupten es gibt nicht mehr viele bei Apple die sich im NeXT Step Codewust noch völlig auskennen. Was daraus für OS X zu folgern ist, soll sich jeder selbst ausmalen.

Marcel_75@work
Aber genau das würde Apple zum handeln zwingen. Siehe Meldungen über Sicherheitslöcher in Quicktime, iTunes usw. Und nicht zu vergessen, der Systemunterbau "Darwin" ist OpenSource. Da wird sicher auch ständig nach "Löchern" gesucht.

Die nächste FUD-Kampagne? Bisserl Aufmerksamkeit auf sein Sicherheitsfirma lenken? Sein IDS besser verkaufen?

MacMark
Eben das vermute ich auch.

Bodo
Wenn die Lücken älter als 10 Jahre sind (laut Schlagzeile), dann können sie nicht zum Closed-Source-Teil von OS X gehören, denn der ist jünger. Folglich kann jeder Schüler die 15 Jahre alten Lücken im Quellcode selbst suchen.

Also ich sage lieber nix zum politischen Kontext des folgenden links ( ), aber es gibt offenbar ein paar Leute, die der Sicherheit von Mac OS X vertrauen...O:-):-y

MacMark
Eben. Und der Code wird mit Sicherheit immer wieder auf Schwachstellen durchsucht.

MacMark
Mac OS X basiert u.a. auch auf NextStep, und das ist KEIN Open Source soweit ich weiß.

PS: und würde zudem in die Zeitangabe 10 bis 15 Jahre passen. Also vermute ich mal, dass es sich um Lücken handelt, die aus NextStep-Zeiten "herübergeschleppt" wurden?

NeXTStep, so die richtige Schreibweise, ist der Vorläufer von OPENSTEP.

Marcel,
es ist aber jetzt der größte Teil Open Source per Darwin. Nur die GUI (Aqua) und ein paar andere neue Dinge nicht.

Schließlich wurde die Firma NeXT von Apple übernommen, um die neue Generation von Mac OS auf Basis von OPENSTEP zu entwickeln (vgl. Cocoa), das aber auch noch diverse Technologien von Mac OS (bis 9) übernahm (vgl. z. B. Carbon oder QuickTime). Dieses neue Mac OS trug den Codenamen Rhapsody und besaß das Look and Feel des klassischen Mac OS. Rhapsody wurde jedoch nie veröffentlicht, sondern bekam ein komplett neues Aussehen und erschien im März 2001 unter dem Namen Mac OS X. Es ist wie NeXTStep in Objective C geschrieben und verwendet zur Darstellung Display PDF.

So, sind jetzt alle Infos angekommen?

Hier sieht man, was nicht zu Darwin gehört.

Mmh, ich glaube der Originalartikel wurde vollkommen falsch übersetzt. Dort steht nichts davon, daß es in OS X Lücken gibt, die 15 Jahre alt sind. Dort steht, daß in anderen Systemen vergleichbare Schwachstellen vor 15 Jahren gefixt wurden.

tsunamix
Echt? Steht da aber ganz anders:

Die Webserver haben OS X. Auf U-Booten war? YellowDog Linux im einsatz.
BTW: Army<>Navy:-P

MacMark
Und? Was ändert das an der Tatsache, dass er Sicherheitslücken in Mac OS X entdeckt hat? Er meint ja eben damit, dass Apple solche Lücken, bis er sie aufgedeckt hatte, nicht fixte. Also etwas, was man als selbstverständlich hinnehmen sollte, wurde von Apple nicht gesichert!

So sieht es aus.

Bodo
Alles angekommen, danke der Nachfrage... (geht es noch etwas unhöflicher?).

Trotzdem diskutierst Du am Thema vorbei! Wie auch (wieder einmal) MacMark.

"Suresec is currently aware of many bugs which exist by default in the latest version of Mac OS X, on both the Intel and PPC Architecture."

DAS sollte zu denken geben!!!

Und die Beschwerde seinerseits (wie vor knapp einem Jahr auch durch Leute aus dem Umfeld des CCC) bezüglich des Umgangs mit gemeldeten Sicherheitslücken seitens Apple!

PS: die Lücken, die Suresec in der kurzen Zeit, die sie sich mit der Sicherheit von Mac OS X auseinandersetzen, aufdeckte, waren auch nicht ohne (Erlangung von root-Rechten etc.).

Marcel,
dann nenne doch mal eine relevante aktuell offene Sicherheitslücke in OS X.

Also sorry, Lücken die es schon immer gab, sind doch keine Lücken, sondern ein Feature (oder so was ähnliches). Oder sie sind so unwichtig, dass sie nicht mal diskussionswürdig sind.

Denn
1. gemerkt hat wohl noch keiner was von
2. hat die Lücken noch keiner missbraucht (würde es gehen und Sinn machen hätte es jemand zu 3000 % schon getan)
3. hätte Apple sie lange schon zu gemacht

Muss somit Bodo & MacMark zustimmen.

MacMark

Witzbold, einen Anwender fragen: Nenn mir doch mal eine offene Sicherheitslücke in Mac OS X, kannste nicht, siehste gibt keine.
Wie gesagt ich erinnere hier nur an die Sauerei mit den Installerpaketquittungen, wodurch man von außen root(!)-Rechte erlangen konnte. Oder den ScreensaverBug.

Aber OS X ist ja per se sicher.

Marcel:
Hättest vielleicht besser direkt zum zdNet-Artikel verlinkt, die Detail-Übersetzungen von macnews lassen irgendwie zu wünschen übrig..

Grundsätzlich ist es schon bedenklich - und damit hast du Recht - wenn Apple Bug-Fixes auf die lange Bank schiebt und "Security Engineers" nicht für voll nimmt. Andererseits haben die meist auch ein recht großes Ego und beschweren sich z.z. wenn sich nicht sofort was tut. Bisher hat Apple aber jedes Leck geflickt bevor es überhaupt einen Wassereinbruch gab, das sieht bei anderen Systemen/Software weitaus anders aus (und ich meine nicht alleine Windows/Office)

Die Tatsache, dass keine Audit-Tools verwendet werden kann auch mit anderen Verfahrensweisen beim Code-Review zusammenhängen. Das Gleichnis mit dem Versicherungsvertreter ist da schon recht treffend. Da ruft einer an und listet unglaublich viele und simple Sicherheitsmängel auf. Im selben Atemzug preist er dann die Audit-Tools - "Mit Audit-Tools wäre das nicht passiert". Ein Schelm wer böses denkt..:-y

Mit anderen Worten: Entweder ich schließe eine KFZ-Versicherung ab oder ich fahre weiter mit der Bahn.

@MacMark: bitteschön



Andere sind mir derzeit nicht bekannt, das heißt aber nicht, dass derzeit keine existieren - und das solltest auch Du eingestehen können!

Und Suresec weiß zumindest über einige bescheid, deshalb noch einmal das Zitat: "Suresec is currently aware of many bugs which exist by default in the latest version of Mac OS X, on both the Intel and PPC Architecture."

Und wenn wir gerade mal wieder beim Thema "Sicherheit und Mac OS X" sind, möchte ich an dieser Stelle auch noch anmerken, dass es "bedenkenswert" ist, wenn Apple ein QuickTime 7.0.4 Update veröffentlicht von dem man dann am Rande erfährt, dass es u.a. auch Sicherheitslücken schließt.

Also entweder in dafür vorgesehene SecurityUpdates packen oder bitte deutlicher auf die vorhandenen Sicherheitslücken in QuickTime <7.0.4 hinweisen!

Marcel_75@work

Suresec security advisory 8
3th November 2005

Mac OS X kernel (xnu) multiple information leaks.

Vulnerability summary:
The first information leak found in xnu is located in the ifconf()
function (used to retrieve information about all used network
interfaces). The leak exists because a buffer that will contain a string
does not get initialized first. When the buffer is copied back to the
user there will usually be about 12 bytes of uninitialized memory
leaked to the user, as shown by the following code snippet:

"Code lass ich mal weg"

Impact:
When properly exploited this can lead to kernel memory being
disclosed to a user process. Such memory might contain sensitive
information, such as portions of the file cache or terminal buffers.
This information might be directly useful, or it might be leveraged to
obtain elevated privileges in some way. For example, a terminal
buffer might include a user-entered password.

Affected versions:
This vulnerability affects all 10.3.x and 10.4.x versions of Mac OS X.
Because of the shared code base with FreeBSD this vulnerability was
also present in all versions of FreeBSD Up until 5.4-RELEASE.
Suggested Recommendations:

There is a security update for OS X 10.4.x (See Mac OS X 10.4.3
Update) It is advised that you make use if this update. We are
currently unaware of and security upgrade for OS X 10.3.x. For
FreeBSD see FreeBSD-SA-05:04.ifconf.

No comment.

Bodo:
Was willst du uns mit dem Zitat sagen? Das dieses eine Beispiel (teilweise, siehe 10.3) gefixt ist? Was ist mit möglichen anderen?

 Marcel
Solch eine Webseite crasht die User-Applikation. Sowas kommt vor.

Ich bin für full disclosure, alles andere ist FUD. Die können viel erzählen und keiner kann es prüfen, also ist es FUD. Die bösen Jungs kennen die Lücken eh, also sollen sie (die Sicherheitsfirma) es für die Anwender und den Hersteller klarmachen, um was es geht, aber nicht diese Geheimniskrämerei mit gebunkerten Bugs.

derondi
Das alle bekannten Lücken bis auf das "Mac OS X 10.4 launchd Local root Vulnerability" geschlossen sind.
Hier die Seite von Suresec:

Bodo:
Na ja, dein Zitat sagt das eben nicht.

Du zitierst ein Advisory (von angeblich vielen, überprüfen kann ich die Aussage leider nicht) in dem es um einen Bug geht, der mittlerweile geschlossen ist. Und zwar nur unter Tiger - ausdrücklich nicht auf älteren Systemen! Das ist kein Beleg dafür, dass keine anderen, ungepatchen Bugs der Firma bekannt sind(!)

derondi
Schau dir mal den 2. Link an.;-)
100%ige Sicherheit gibt es nirgendwo.(policeman):-D

Hab ich schon.

OK, das in Klammern war etwas mißverständlich. Also nochmal in lang:
Dieser Archibald behauptet ja, dass er (und/oder seine Firma) Kenntnis von weiteren Lücken hat, dazu aber keine Details publizieren will (diese wohl aber dem zdNet-Redakteur vorgeführt hat - wer weiß wie Redakteure arbeiten, weiß auch dies einzuordnen ). Das meinte ich mit nicht überprüfbar.

Die Aussagen sind (aus meiner Sicht) also etwa so:
Archibald: "Hab was gaaaanz viel ganz gefäääährliches entdeckt, hier ein Beispiel. Alles andere will ich aber nicht sagen."
Marcel: "Oh scheiße Leute, schaut mal. Da hat jemand was gefährliches entdeckt. Alle Mann wegducken!"
Bodo: "Solange der nix beweisen kann glaub ich nix. Und schaut mal hier, vorher hat er geschrieben er weiß nur von einem."
derondi: "Könnte was dran sein, muss aber nicht. Bewiesen ist nix."

Du siehst also, soweit sind wir gar nicht auseinander.

derondi: Gut zusammengefaßt. Mich haste aber vergessen:
MacMark: "Solange Archibald nicht full disclosure praktiziert, verbreitet er nur FUD."

Eine klassische Frage, die man besonders bei spektakulären Meldungen stellen sollte, ist: Cui bono? (Wem nützt es? D.h. hier: wem nützt die Nachricht?)
Herr Archibald spricht im Interesse einer Sicherheitsfirma. Die schauen einfach auch Nachrichten und haben gehört, dass Apple (auch ) im Computersektor wächst. So. Folglich werden die Kunden der Marke Apple als potentielle Kunden von "Suresec" interessant...
Ich erinnere mich, dass vor einigen Monaten Symantec Horrormeldungen über angebliche Sicherheitslücken am Mac in die Welt gesetzt hat, bis kurz darauf offenbar wurde, dass die größte Sicherheitslücke ausgerechnet in Symantecs Norton Antivirus bestand...:-|
Also, ganz ruhig bleiben.

Sorry MacMark.

Taxifahrer:
War das nicht Intego mit den Horrormeldungen? Symantec ist mir in letzter Zeit nicht so übertrieben häufig aufgefallen...