Mit Firefox passiert nichts (da könnt ihr euch also auch die Infos zu den Problemen in Ruhe durchlesen) – Safari jedoch crasht ohne Vorwarnung!




Hier reicht leider schon der Besuch der Seite (jede WebKit-basierte Applikation wird durch das Bild "jag_towcar.jpg" z.Z. zum Absturz gebracht).





Hier muss man Ctrl + a drücken um Safari crashen zu lassen.



Der erste Bug ist ärgerlich, da ein ähnlicher Fehler mit dem letzten Security-Update beseitigt wurde (http://www.drunkenblog.com/drunkenblog-archives/000635.html).

Der zweite ist umso ärgerlicher, da er seit Monaten NICHT gefixt ist!

Meinst Du, die Apple-Ingenieure lesen das hier?
Ich habe es noch nie begriffen, was das Posten von Bugs hier soll. -- Schreib Feedback an Apple, ich habe da sehr positive Erfahrung mit gemacht.

Sebastian, davon mal abgesehen, dass ich nicht so sicher bin, ob Apple (wer auch immer dort) nicht sporadisch reinguckt (sind ja auch Anwender), dient ein Forum dem Austausch von Informationen (dazu gehören auch bugs, erstrecht wenn sie als Einfallstor für code genutzt werden könnten) und deren Diskussion.

Übrigens kann ich mich nicht erinnern, je bewusst ctrl-a geklickt zu haben… der erste ist schon ärgerlicher.

@Sebastian: Wie Ties-Malte schon richtig bemerkte – diese Infos sind lediglich als Hinweis für interessierte User sowie zum diskutieren gedacht.

Apple ist bereits darüber informiert, was den zweiten Bug betrifft, sogar schon seit Monaten, Zitat:

"I filed a bugreport with Apple, they mailed me because they wanted the crashlog, and i sent it to them...

The only "real" problem is that this was months ago, and there were some updates to Safari and WebKit in the meantime, yet this bug is still there."

Gruß,
Marcel

Oder mal bei webkit.opendarwin.org ob sich schon jemand drum kümmert.

Naja, ich denke da vielleicht aus Entwickler-Sicht. Ich finde es einfach nur extrem nervig, wenn Leute meinen, beispielsweise bei Versiontracker teilweise sogar relativ detaillierte Berichte zu Bugs von Programmen von mir hinterlassen zu müssen, mir davon aber nichts sagen.
Ich grase doch nicht regelmäßig irgendwelche Foren ab (eventuell sogar noch aus Ländern deren Sprache ich nicht kann) weil die Leute es nicht fertigbringen, mir eine einfache Mail zu schicken.

Sorry, ich wollte niemandem auf die Füße treten, aber das bringt mich immer auf 180.

Sebastian:
Das kann ich verstehen. Allerdings steht oben, dass Apple informiert war, Interesse zeigte und dann doch nicht reagierte. Danach ist das öffentliche posten, denke ich, mindestens gerechtfertigt. (Ach, und Apple D gibt's auch. Die sollte auch dt lesen und schreiben können. )

Hat zufällig jemand verfolgt, ob hier



auch immer noch die beiden von mir in diesem Thread angesprochenen Lücken dabei sind?

Ergänzung: Ich finde es nach wie vor äußerst bedenklich, wenn Apple Sicherheits-Aktualisierungen "in normalen Updates versteckt".

Mit Quicktime passierte das schon einmal vor einigen Wochen, vor ein paar Tagen war es nun auch bei Java so.



HALLO? APPLE? Security-Fixes sollten bitte (wenn möglich) in Security-Updates einfließen!!!

Und nicht – wie bei Quicktime und Java geschehen – mehr oder weniger "still und heimlich" abseits von Security-Updates.

Die beiden oben angegebenen Links funktionieren leider immer noch – auch mit 10.4.6 und Java 2 Standard Edition 5.0 Release 4

Marcel_75@work
Warum? Was gefixt ist, ist gefixt. Was nicht, ist doof.

Ties

Das seh ich auch so. Wer nicht updatet ist selber schuld. Und was interessiert es mich, ob eine Sicherheitslücke in einem "normalen" Update gefixt wird oder zusätzlich noch ein Security-Update für die Lücke veroffentlicht wird, außer, dass ich nur ein Update statt zwei laden muss...

Javascript und Inline-Images - pfui. Dank PithHelmet crasht mein Safari nicht auf den Seiten.

Und

Noch einmal ein Argument, warum (IMHO) Security-Fixes in Security-Updates gehören:

In der Filmbranche wird z.B. mit Final Cut Studio gearbeitet. Bevor man an Produktivsystemen etwas ändert muss man sicher gehen können, dass alles 100%ig kompatibel zueinander ist.
Quicktime z.B. von Version 7.0.1 auf Version 7.0.3 oder 7.0.4 zu updaten, ist ein vorher gut zu überlegender Schritt – weniger vielleicht wegen FSC selbst, sondern vielmehr dank zahlreicher PlugIns und Tools, die unerlässlich sind.
Alle bisherigen Sicherheitslücken in Mac OS X sind nicht so gravierend, dass gleich das gesamte System übernommen werden könnte.
Die Daten des Home-Verzeichnisses (bzw. alle Daten, auf die der angemeldete Benutzer mit Lese-/Schreibrechten Zugriff hat) sind bei Sicherheitslücken aber theoretisch sehr wohl in Gefahr - und dann auch ohne Abfrage eines Passwortes natürlich.

Worauf ich hinaus will ist folgendes: In Produktionsumgebungen bleibt man auch gern mal bei älteren Versionen von Quicktime (aus oben genannten Gründen). Es gibt manchmal sogar Inkompatibilitäten zwischen Programmen und der Systemversion selbst, so dass man lieber weiter mit 10.4.5 arbeitet als auf 10.4.6 zu updaten (aktuelles Bsp.: Microsoft Office 2004 - automatische Silbentrennung).
Wenn man sich nun an die Grundregel hält, zumindest immer alle von Apple zur Verfügung gestellten Security-Updates zu installieren, ist man nicht mehr 100%ig sicher, da es mittlerweile auch Sicherheitsaktualisierungen außerhalb der Security-Updates gibt.

Und nur das ist es, was ich kritisiere. Letztlich könnte das irgendwann bedeuten, dass man besser ohne Online-Verbindung arbeitet…

Ok – ich weiß, das ist überspitzt dargestellt - die Sicherheitslücken z.B. in Quicktime waren vielleicht nicht so gravierend, dass gleich etwas schlimmes passieren könnte.

Gut muss ich die Auslagerung von Security-Fixes deshalb aber trotzdem noch nicht finden.

Ich hoffe nur, dass das in Zukunft nicht noch größere Ausmaße annimmt.

@MacMark: probiere gerade PithHelmet - leider stürzt Safari bei beiden Links trotzdem noch ab.

Wie hast Du es denn eingestellt? Danke für Infos.

Anbei ein Screenshot der Standard-Einstellungen:

Übrigens: Wie man auf fscklog nun lesen kann, ist Apple zumindest dran:



Original C|Net-Artikel:





Ansonsten: weiß jemand, wie man PithHelmet einstellen muss, damit Safari nicht mehr bei den oben angegebenen Links crasht?

Bei "default site rule" Inline-Images und Javascript deaktivieren.

Ah ok, danke Dir.

Traurig, dass die oben erwähnten Bugs trotz heute veröffentlichten Security Update 2006-003 immer noch vorhanden zu sein scheinen!

Hier noch einmal die direkten Links.

ACHTUNG! Beim folgenden Link stürzt Safari ohne Vorwarnung ab (mit Firefox passiert das nicht):



Beim zweiten Link muss man CTRL+a drücken, um Safari crashen zu lassen:

Interessant: OmniWeb 5.5 (Sneaky Peek 10 v584) stürzt auch nicht ab, obwohl es doch auch auf WebKit basiert… ?

Hatte letztens irgendwo gelesen, dass die OmniGroup schon eine aktuellere WebKit-Version benutzt, weiß aber nicht ob das stimmt und damit zusammenhängt.

Aber traurig (um nicht zu sagen ärgerlich) ist es schon, zu sehen, dass Firefox und OmniWeb diese beiden Seiten ohne Probleme verkraften, Safari jedoch ohne jede Vorwarnung ins Datennirvana geschickt werden kann...

Marcel_75@work
Wenn dir das so wichtig ist, dann mach doch genauso wie Omniweb und benutze ein aktuelleses WebKit - aber eben für Safari
von hier:
siehe auch
(im System wird nichts verändert)

Safari mit so einen aktuellen Nightly WebKit säuft übrigens nicht mehr ab - bei deinen Beispielen

Ja, kenne diese Nightly Builds, aber trotzdem danke für die Links. Und gut zu wissen, dass es da gefixt zu sein scheint.

Hoffentlich finden sie dann den Weg in das kommende 10.4.7-Update.

Sieht gefixt aus
www.heise.de/newsticker/meldung/73026

Aber sieht eben nur so aus...

Unter einem richtigen Fix verstehe ich ein nicht ohne Vorwarnung abstürzendes Safari. OmniWeb 5.5 kann es ja auch (und Firefox sowieso).

Deshalb schreibt heise ja auch "Auch die von Tom Ferris kürzlich gemeldeten Lücken SCHEINEN mit den Updates geschlossen zu sein."

Safari stürzt bei zwei Seiten ab, die niemand ansurfen würde, wenn er hier nicht dazu animiert würde.

Wahrhaftig - ein echte Katastrophe!


Übrigens:
Mit Stand ( @@ ) kann man seine geöffneten Seiten in Safari als Workspace sichern, so daß im Falle eines Absturzes schnell alles wieder da ist.

Pseudemys
Oh ja, böse, böse mtn-Aufwiegler bei mtn… zzz

Es geht doch nicht um diese beiden Seiten *kopfschüttel*, sondern um die dort beispielhaft aufgezeigten und zum Absturz führenden Fehler, die prinzipiell zum Einschleusen von bösartigem Code ausgenutzt werden können.

Ties-Malte
Diese Möglichkeit ist nicht nachgewiesen worden. Es handelt sich um pure Spekulation (und FUD).

@Ties-Malte: Danke!

@MacMark: Nur weil "die Möglichkeit, Code einzuschleusen, nicht nachgewiesen wurde" heißt das noch lange nicht, dass es unmöglich wäre!

Marcel_75@work
Es wurde nicht einmal andeutungsweise nachgewiesen. Es gibt keinerlei Hinweis darauf, daß es möglich ist.

So etwas ist FUD, Panikmache und unseriös.

Ich habe ein Absturzprotokoll an Apple geschickt. Macht es auch. Vielleicht gibt es bald den Security Fix 2006-004!?

Dieter
Wenn Du mit Deinem BMW vor einen Baum fährst, schickst Du das Photo vom Unfall an BMW? (Vielleicht macht BMW ja den BMW sicherer danach.)

MacMark, dieser Vergleich ist doch Quatsch, es ist durchaus sinnvoll, Apple den Fehlerbericht zukommen zu lassen (wozu sonst sollte Apple eine solche Funktionalität in das System integriert haben?).

Wenn es genug Leute gäbe, die dies täten, würde Apple umso eher aufmerksam auf das Problem.

Meinst Du nicht, daß ihnen bereits solche Berichte vorliegen?

Marcel,
kannst Du einen aktuellen Safari-Crash-Link posten? Die obigen Links lassen Safari am Leben.

MacMark



Unerhört!

Das hatte ich bereits gestern um 23:59 getan. Ohne PithHelmet: Absturz.

Aber hier gern noch einmal die direkten Links…

ACHTUNG! Beim folgenden Link stürzt Safari ohne Vorwarnung ab (mit Firefox passiert das nicht):



Beim zweiten Link muss man CTRL+a drücken, um Safari crashen zu lassen:

Und deshalb drückt es heise.de auch so vorsichtig aus:

"Auch die von Tom Ferris kürzlich gemeldeten Lücken SCHEINEN mit den Updates geschlossen zu sein."

Beides probiert - Safari steht aufrecht in der Brandung. Kein Absturz - nix.

Tommy hat keine Lücken gemeldet, sondern Absturzmöglichkeiten. Daß das Lücken sind wurde nie nachgewiesen und noch nicht einmal glaubhaft begründet. Er gab lediglich ein könnte-vielleicht-man-weiß-es-nicht-möglich-ist-alles zum besten.

Wenn man sich auf Wahrheit und Fakten beschränkt, dann bleibt von den "Lücken" (lachschlapp) nämlich nichts mehr übrig - erst recht keine Schlagzeile. Und Schlagzeilen sind es, was diese Trollos wollen - egal zu welchem Preis. Da kann man ruhig blanke Vermutungen und zusammenhangsloses Spekulieren als Lücke verkaufen - Hauptsache Hits. Irgendwann stecke ich diese Nebelkerzenwerfer alle mal in einen Sack und schenke ihnen links und rechts ordentlich ein.

MacMark
Oh erstaunlich… denn hier stürzt Safari auch ab.

Zu deinem BMW-Vergleich: Wenn der Unfall nicht auf Straßenverhältnisse oder Fahrer zurückzuführen ist und sich an gleicher Stelle die Unfälle möglicherweise sogar häufen, sollte sich BMW Gedanken machen - selbstverständlich!

MacMark
Richtig so!! Endlich sorgt mal jemand für Ordnung.
Auch hier ist kein kein großes Federlesen angesagt.

Dieser Wicht, hat doch keine Ahnung und wollte dich nur nerven.

Gepriesen sei dein Einsatz.

P.S.
das neue offizielle MacMark Fanposter:

Also, wenn eine Applikation abstürzt (ja es gibt ein deutsches Wort für "crasht"), dann ist das vielleicht ärgerlich, aber besser als wenn es eine Sicherheitslücke ins Betriebssystem reißen würde (wie unter Win üblich). So sehe ich das!

MacMark hat Recht (wie so oft). Aronnax Beitrag überlese ich.

MacMark hat auf jeden Fall (als Einziger) das ganze Drumherum des Falls mal präzise beschrieben – er ist offensichtlich sehr gut informiert.

Daher verdient seine Meinung auch die meiste Aufmerksamkeit.


Aronnax überlese ich nicht, da seine Mitteilungen i.d.R. große Aufmerksamkeit verdienen, aber hier ist sein obiges Späßchen ein Rohrkrepierer.
Leider.

Der Safari-Absturz auf Drunkenblog setzt JavaScript voraus. Das ist bei mir immer aus und nur für ausgewählte Seiten aktiviert, wenn überhaupt.

Habe lange gebraucht, um rauszufinden, warum mein Safari partout nicht kaputtgehen wollte. Man sollte keinen Code von fremden Seiten auf seinem Rechner ausführen Macht der Suchmaschinen-Robot ja auch nicht aus gleichem Grund: www.woodshed.de/publikationen/dialog-robot.html

MacMark, was hast Du für ein Problem? Wo rede ich von Sicherheitslücken? Habe die ganze Zeit von Bugs geredet!

Erst Ties-Malte sprach am 12.05.06 um 14:54 die prinzipielle Möglichkeit, schadhaften Code einzuschleusen, an. Und dem pflichtete ich dann um 15:46 dahingehend bei, dass es, auch wenn es bisher nicht nachgewiesen wurde, denkbar ist.

Denn die Vergangenheit, unabhängig vom Betriebssystem, zeigt, dass schadhafter Code oftmals über zum Absturz gebrachte Applikationen ins System geschleust werden konnte.

Es ist ja richtig, dass dadurch sicher nicht gleich unser gesamtes Mac OS X "hops geht" (da sind wir uns wenigstens weitestgehend einig), aber alles, was im Kontext des angemeldeten Benutzers läuft, ist so prinzipiell gefährdet.

Und da Du die Abstürze nicht reproduzieren kannst, weise ich mal auf einen Versuch hin, den auch Du schon hunderte Male hier gepostet hast: lege einen neuen Benutzer an und versuche es dort noch einmal (also ohne Safari-PlugIns wie PithHelmet etc.).

Ich habe die Abstürze hier auf 12 verschiedenen Rechnern reproduzieren können.

Marcel_75@work

Die Geschichte ist schon länger bekannt, daher wohl erst recht Apple.
Seltsam schon, daß man dort so lange zur Schadensbehebung braucht.

Aber was soll die Klage hier darüber bringen?
Apple den Marsch zu blasen? – Naja…

Unbedarfte Nutzer werden möglicherweise nur unnötig irritiert, da die ganze Geschichte ja doch - relativ - harmlos ist.

Marcel, ich bezog mich damit mehr auf Tommy und was die "Journalisten" der Webzeitungen daraus machen.

Diesen Artikel über "guten Journalismus" würde ich gerne prämieren: (Wie man aus Nichts einen Aufmacher hinstellt)
daringfireball.net/2006/05/good_journalism

Der hier ist auch gut und bietet die einzige nicht-technische Erklärung, die ich für nachvollziebar halte: (Zerbrochene Fenster, schlechte/gute Nachbarschaft)
daringfireball.net/2004/06/broken_windows

Tom Ferris klagt über weitere Bugs/Lücken (siehe macnews.de):

Solange er nicht full disclosure macht, ist das Wichtigtuerei und FUD. Wo war mein Knüppel?

Lass Deinen Knüppel mal besser im Sack…

Also ich finde es ja nach wie vor etwas anmaßend von Dir, wenn Du solche Leute als "Wichtigtuer" abstempelst!

Wenn die auch schon vorher von Ferris aufgezeigten Bugs "so ungefährlich" gewesen wären, hätte Apple doch gar nicht darauf reagieren müssen (nach Deiner Logik). Denn immerhin gab es auch im April keine Details zu den Möglichkeiten, die sich ergeben könnten...

Verstehe ehrlich gesagt auch nie so recht, warum Du Dich so emotional in diese Dinge hineinsteigerst – Mac OS X ist auch "nur ein Betriebssystem"! Auf mich wirken Deine Reaktionen (auch am WE in Zusammenhang mit Windows in einem anderen Thread) immer wie "Majestätsbeleidigung". Also wie ein persönlicher Angriff auf Dich.

Deshalb empfehle ich Dir für die Zukunft: einfach mal locker bleiben…

Dummes Zeug bringt mich halt auf die Palme. Luftblasen auch.