So ein Quatsch, Herr Uhlhorn bitte übernehmen Sie.

Das sollte Apple demnächst fixen, will heißen entsprechend aktuelle sudo-Version ausliefern.

Das werden die sicher, dauert wie du selbst weist, bei Apple nur alles immer etwas länger.
Schade ist nur das die älteren OS X Version für immer diese Lücke behalten werden.

Ich liebe solche Sicherheitsprobleme, schlimm was da alles passieren könnte

Ich muss also einem Angreifer erst mal nen Schlüssel für meine Haustür anfertigen, die Tür dann nicht abschließen und nen Zettel dran kleben das ich es nicht getan habe damit auch wirklich einer reinkommt.

Ich hoffe diese Sicherheitslücke wird nicht zu aktiv ausgenutzt

Stellt sich die Frage, wie es sein kann, dass die Uhr Sicherheitsabfragen aushebelt? Absichtliche Hintertür?

Bestimmt eine böswillige Hintertür
Das man es auch immer gleich auf sowas zurückführen muss, zumal man ja immer noch dem Angreifer Tür und Tor aufsperren muss

Weil viele Dinge zeitgesteuert laufen, ein sudo im Terminal hält z.B. fünf Minuten lang an. Die Erscheinung, um die es hier geht, ist keine Absicht, sondern ein bug in sudo im Umgang mit epoch, also diesem 1970er Datum:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1775

In OS X besteht nun dieser Exploit, weil Apple traditionell beim Aktualisieren der mitgelieferten Open Source Komponenten leider eher, hm, konservativ vorgeht.

Typischerweise gibt es spätestens dann eine Reaktion, wenn wie jetzt eine Sache im größeren Rahmen öffentlich diskutiert wird.
Betroffen sind afaik 10.6.8, 10.7.5 und 10.8.4 - 10.9 DP schon nicht mehr. Da 10.6.8, 10.7.5 und 10.8.4 aktuell noch mit Updates versorgt werden, sollte es nicht zu schwer sein, in die nächsten Updates einen neueren bzw. gefixten sudo reinzupacken.

(10.5.8 dürfte auch betroffen sein, aber das ist ja Geschichte.)

10.6 bekommt noch updates?

Wer hat denn den Mist schon wieder verzapft? Nur weil Lücken nicht publik gemacht werden existieren sie nicht?

Was meint die liebe "Redaktion" eigentlich, woher der Schwarzmarkt für Exploits kommt? Weil die jeder kennt? Klar, denn dann macht das bezahlen dafür so viel Sinn.
Hat Stuxnet öffentlich bekannte Sicherheitslücken ausgenutzt?


Dieser Exploit mag zwar den 0815-Ottonormaluser weniger betreffen, dürfte aber in Systemen mit höherem Sicherheitslevel interesssant werden. Dann kommt der Admin der Firma, gibt sich selbst darüber alle Rechte die er benötigt um die Firmendaten über die Umweltsauereien abzuschnorcheln und macht dann den Snowden. Die Chefetage wird sich bedanken.

Exploits müssen gefixt werden, egal wie klein sie sind und zwar so schnell wie möglich. Das Problem ist viel mehr, dass Apple Angst davor hat, mit schnellen Sicherheitsupdates zeigen zu müssen, dass das eigene System nunmal auch Lücken hat (bleibt bei der Größe aber gar nicht aus). Die sind gefangen in der eigenen Werbemasche.
Ja, die frage ist aber wie lange noch. Vorallem seh ich es aber als Eingeständnis von Apple, dass 10.7 und 10.8 nicht gut genug bei den Nutzern ankamen, da immernoch so ein großer Teil an Nutzer an 10.6 festhält, dass Apple (um das eigene Gesicht zu waren, falls es wirklich mal Probleme gibt) dieses mit warten muss.

Hier ist (privat) noch ein MacBook CD (1,83GHz) im Betrieb, der einfach nicht verrecken will. Der wird leider nur bis 10.6 unterstützt (das ist noch einer der wenigen 32-Bit-only-Macs). Ach, und als Akku-Leidgeprüfter muß ich hier noch mal voller Neid anmerken, daß der Akku schon etwas über 1000 Zyklen hat und noch immer >80% Health hat.

SpaceHotte Schrieb: "Vorallem seh ich es aber als Eingeständnis von Apple, dass 10.7 und 10.8 nicht gut genug bei den Nutzern ankamen, da immernoch so ein großer Teil an Nutzer an 10.6 festhält"

Also, bei mir sind noch ein MBP mit CoreDuo Prozessor und ein MacMini mit Core2Duo Prozessor am Werk. Leider werden beide Rechner nicht von 10.7 unterstützt. Nicht jeder möchte alle Hardware die noch gut läuft durch neue ersetzen, nur um ein neueres OS nutzen zu können. Wenn 10.7 diese Rechner unterstützte, wäre es schon längst installiert.

Ich stimme Dir zu, daß (bekannte) Exploits so schnell wie möglich gefixt werden sollten. Apple fährt traditionell leider eine etwas andere Methode, und bündelt das in größeren zeitlichen Abständen.
Das hat nichts damit zu tun, daß "10.7 und 10.8 nicht gut genug bei den Nutzern ankamen", sondern weil es eine aktive Hardware-Basis gibt, die nur 10.6 kann. Abgesehen davon ist es gut und richtig, daß bei einer Verkürzung der Zyklen für Major Releases dann auch mehr Major Releases mit Support bedacht werden.

Ihr zwei beweist aber auch, dass euch das System nicht genügend bietet, dass ihr die alten Rechner auf den Müll werfen würdet, geschweige denn ständig die Rechner aktualisiert.

Ich behaupte mal ganz frech, ihr müsst rationale Gründe für eure Käufe haben, die aktuellen Rechner laufen aber noch zu gut. Bis auf die Geschwindigkeitszuwäche fehlen aber echte Gründe den Rechner zu wechseln.

Persönliche Erfahrung: Ich hab damals innerhalb kürzester Zeit nach dem Release direkt den Wechsel auf 10.4, 10.5 und 10.6 gemacht, 10.7 und 10.8 bringen mir einfach zu wenig, als dass ich den Zwang verspüre, dort dauerhaft hin zu wechseln. Ich halte 10.6 immernoch für das beste von allen OS X Versionen.

Die Nutzerbasis muss aber immernoch groß genug sein, dass es sich lohnt, ein so altes System mitzuwarten (bisher galt halt nur aktuelles System und das davor). Kann nur Angst sein, dass im Ernstfall zu viele Nutzer davon betroffen sind, wenn 10.6 keine Updates mehr bekommt. Außerdem kamen 10.1 bis 10.3 auch im Jahrestakt und waren noch teurer als die heutigen OS X.

Es gibt diverse Fälle, für die 10.6.8 das richtige OS ist, wegen alten Anwendungen, alten Zusatzgeräten oder weil die Maschine gar nicht mehr kann.
Time Machine auf mehreren Volumes und FileVault2, das reicht (mir) schon.
Das ist objektiv nicht so, auch wenn es hier gerne mal wiederholt wird. Insbesondere mit dem Ausblick auf 10.9 wirkt so eine Behauptung mittlerweile sogar eher albern...
Könnte daran liegen, die die aktive "Installed Mac Base" *insgesamt* heute ein kleines bißchen größer ist als vor zehn Jahren...

SpaceHotte

Es ist Richtig, dass ich keine Notwendigkeit für neue Hardware sehe, wenn die 4-6 Jahre alte Hardware noch einwandfrei ihre Bestimmung erfüllt. Allerdings hat meine Frau einen aktuelleren Mac mit 10.8 am Start und wir sind mit den neuen Funktionen des OS sehr zufrieden. Wenn ich könnte, würde ich das gerne auf allen laufen lassen. Leider hat Apple hier, wohl aufgrund der Performance, die Systemanforderungen recht hoch geschraubt. Ich muss halt so lange warten, bis entweder die bestehende Hardware den Geist aufgibt, oder die Anforderungen nicht mehr zufriedenstellend erfüllen kann. Es ist ja auch noch eine Frage des Geldes, ob man die Hardware sofort erneuern kann. Ich bin auch mit 10.6 sehr zufrieden, würde aber sofort updaten wenn ich könnte.

Mag sein, das kann ich aber aus den Kommentaren nicht herauslesen, wie gesagt freche Behauptungen.
Schön für dich. Bei mir hat Time Machine einmal versagt, seitdem nutze ich wieder eigene Lösungen. FileVault traue ich bis heute nicht. Aber das sind halt alles persönliche Entscheidungen
Kann ich nicht beurteilen. Ich hab 10.9 noch nicht installiert, finde aber die wenigsten Sprünge dort wirklich beachtenswert. Die Speicherkompression will ich im echten Leben testen und nicht aus dem Werbeprospekt von Apple lesen. AppNap muss von den Programmen unterstützt werden, sonst gibts da kein schläfchen. Ist außerdem eh nur für Notebooks interessant.

Stelle ich mir aber andererseits interessant vor: Habe da gerade Handbrake am laufen, alle 24 (theoretischen) Kerne meines MacPro sind am Rödeln, dann wird das Fenster verdeckt und Handbrake macht erstmal ein Frühstückchen.
Und dennoch muss es sich lohnen, die Updates bereitzustellen. Apple hat nichts zu verschenken, und nur weil "ein paar Nutzer keine aktuellen Rechner haben oder alte Hard- oder Software" benutzen hat das Apple bisher auch nicht gestört Zöpfe abzuschneiden. Das ganze muss sich betriebswirtschaftlich rentieren, sonst würden die das einfach nicht machen.

Warum nicht? FV2 funktioniert bestens, und ist bei diversen unserer Kunden auch Pflicht, weil FDE Teil des Sicherheitskonzeptes ist.
Da geht es nicht nur um Gewinne. Apple kümmert sich *wirklich* um Bestandskunden, das sieht man an Beispielen wie dem, daß Ersatzteile für Hardware fünf Jahre lang (und manchmal sogar länger) verfügbar sind. Bzgl. der Sicherheitsupdates gibt es zudem eine Selbstverpflichtung (bei der man mitmachen muß, wenn man in den USA Regierungsaufträge haben möchte ), siehe:

https://ssl.apple.com/support/security/

Gerade die ersten FileVault Versionen haben genug Daten vernichtet. Das mag sich inzwischen gebessert haben, das verschlüsseln meiner Daten kann ich aber vorerst auch mit einem Verschlüsselten DiskImage machen.


Sobald ich einmal an den Fall kommen sollte, das ich eine vollverschlüsselte Festplatte brauche, werd ich mir wohl was überlegen müssen. Aber ich traue FileVault allein deshalb nicht, weil es nicht offen ist und damit nicht 100%ig geklärt werden kann ob nicht doch ein Backdoor existiert.
Klar, Apple hat was zu verschenken.

Wir scheifen uebrigens ab. Das eigentlich Thema war, dass Apple noch eine Lücke in sudo fixen muss.

Du lieber Schwan. Apple hat eine Angstneurose. Diese Werbefuzzis sind gefährlich!

Viele Nutzer sind weiter auf OSX 10.6.8 .... so auch ich und es wäre sehr wünschenswert, dass Apple den Fix auch für dieses Betriebsystem anbietet....

Hier keine Probleme. Mein Mac Mini G4 wird von Ubuntu bzw. Debian alle paar Tage automatisch mit den allerneuesten Sicherheits-Aktualisierungen versorgt. Da bin ich deutlich "moderner" unterwegs als der letzte Schrei von Apple.

P.S.: Der Rechner ist über 15 Jahre alt. Aber von einer Milliarden-$-Company wie Apple kann man latürnich nicht erwarten, ihre eigene Hardware länger als zwei Jahre zu unterstützen. Da ist ja soooooooo schwer.

Ich dachte der Sudo mit dem Datumsfehler wurde schon vor länger Zeit gefixt, in Snow Leo?

das sehe ich anders,

Sicher?

Und etwas gemütlicher.
Maximal 8,5 Jahre, denn der erste Mac mini G4 erschien im Januar 2005.
Apple Hardware wird via AppleCare (Ersatzteile, Reparatur) min. fünf Jahre unterstützt, teilweise sogar länger. Via Software reicht der Support aktuell bis zu den ersten Intel-Macs zurück, das sind mittlerweile auch 7,5 Jahre.

Diese Deine Einschätzung sei Dir belassen.

na ja, es handelt sich seitens Apple auch um eine Art Zwangsupgrade.

Bug Fixes und nach einer Weile Security Fixes gibt es nur für aktuellste Version.

Und da die Leute Bug Fixes & Co. mögen, müssen sie dann ja zwangsweise auf die neuere Version upgraden.