Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple schließt mit iOS 5.0.1 sechs Sicherheitslücken

Mit dem gestern Abend erschienenen iOS-Update auf Version 5.0.1 hat Apple insgesamt sechs Sicherheitslücken geschlossen. Unter anderem wird ein Zugangsfehler mit dem Smart Cover des iPad 2 behoben, bei dem unter Umständen die Pin-Abfrage teilweise umgangen werden konnte, indem der Zugriff auf laufende Apps möglich war. Ebenfalls hat Apple ein Sandbox-Problem im Kernel behoben, welches erst vor wenigen Tagen vom Sicherheitsexperten Charlie Miller in einem YouTube-Video öffentlich gemacht wurde. Hierbei konnte eine App schädliche Programmanweisungen nachladen und ohne Signatur sowie App-Store-Prüfung ausführen. Kriminelle konnten so unbemerkt an der App-Store-Prüfung vorbei die volle Kontrolle über iOS-Geräte und deren Nutzerdaten erlangen. Neben diesen beiden Lücken hat Apple weitere Sicherheitsprobleme in den Bereichen CFNetwork, CoreGraphics, Data Security und libinfo behoben. Apple empfiehlt allen Nutzern die Aktualisierung auf iOS 5.0.1.

Weiterführende Links:
Apple TV: YouTube-Bildschirmschoner erscheint ungefragt
Apple TV: YouTube-Bildschirmschoner erscheint u...
Avast verkauft Browserdaten seiner Kunden – Sicherheitsbedürfnis perfide ausgenutzt
Avast verkauft Browserdaten seiner Kunden – Sic...
Noch mehr Neuerungen in iOS 17.4 aufgetaucht
Noch mehr Neuerungen in iOS 17.4 aufgetaucht
iOS 18 und iPadOS 18: Die angebliche Kompatibilitätsliste
iOS 18 und iPadOS 18: Die angebliche Kompatibil...
Wie lange wird Intel noch unterstützt?
Wie lange wird Intel noch unterstützt?
Updates erschienen: iOS 17.4.1 und weitere verfügbar
Updates erschienen: iOS 17.4.1 und weitere verf...
Safari: iOS 18 enthält angeblich den "Browsing Assistant" +++ massive Performance-Verbesserungen in WebKit
Safari: iOS 18 enthält angeblich den "Browsing ...
Bald macOS 14.5 & iOS 17.5
Bald macOS 14.5 & iOS 17.5

Kommentare

Dekator
Dekator11.11.11 09:14
iOS-Geröte > iOS-Geräte
0
chill
chill11.11.11 09:15
Und Charlie Miller haben sie als "Belohnung" den Dev-Account entzogen, sowie seine Apps aus dem Store geworfen. Ohne Worte.
MBP M1 256/16 Monterey 12.1 . iPhone 11 128 GB, iOs 15.2
0
Termi
Termi11.11.11 09:20
Seit Wochen ist ein krasser Fehler bei Texteingabefeldern in Safari bekannt, der die Nutzung vieler Online-Banking und Shop Seiten unmöglich macht: Konto- bzw. Kreditkartennummern werden formatiert, d.h. aus 123456 wird 1.234,56! Und das beheben sie nicht?! Saftladen!
0
applegenius11.11.11 09:25
@Termi: kann ich nicht nachvollziehen! Muss aber auch dazu sagen, dass ich jegliche Korrekturhilfen abgeschlatet habe da ich ohne schneller schreiben kann.
0
Hannes Gnad
Hannes Gnad11.11.11 09:46
@chill: Die App aus dem Store zu nehmen ist natürlich richtig. Bzgl. seines Dev-Accounts bin ich mir sicher, daß sie auf dem kleinen Dienstweg eine passende Lösung für beide Seiten finden werden.
0
MYTHOSmovado
MYTHOSmovado11.11.11 10:00
@applegenius
Trotz Abschaltung der Korrekturhilfe sollte man nochmals über seinen geschriebenen Text lesen; natürlich auch mit eingeschaltet Korrekturhilfe.
Denn dann schreibt man nicht nur schneller, sonder auch korrekt (Tipp: lies nochmals über Deinen Text!)
Nichts wird so heiß gegessen, wie es gekocht wurde °°° Tatsachen muss man kennen, bevor man sie verdrehen kann...
0
chessboard
chessboard11.11.11 10:01
chill
Und was wäre das für ein Signal gewesen, wenn sie Miller stillschweigend hätten gewähren lassen?
Quasi: "Ja, komm rein. Setz Dich und nimm Dir 'nen Keks - ... - Du A***".

Ich glaube kaum, dass das für Apple in irgendeiner Weise von Vorteil gewesen wäre. Wenn meinem Unternehmen (hab keins) jemand derart ans Bein pinkeln würde, würde ich auch erst mal so reagieren. Aber das wurde eh schon totdiskutiert.
0
MYTHOSmovado
MYTHOSmovado11.11.11 10:03
@chill/Hannes
...wissen wir denn, ob da nicht mehr war??
Nichts wird so heiß gegessen, wie es gekocht wurde °°° Tatsachen muss man kennen, bevor man sie verdrehen kann...
0
Wuselfusel
Wuselfusel11.11.11 10:08
@Myth. Das gleiche gilt auch für deinen Text.
0
apfelrudi11.11.11 10:19
Ich hab 5.0.1 auf dem 3gs und hab seither nur Probleme mit der Musik App.
Auch in 5.0.1 stell ich folgendes fest:
Starte ich die App ganz neu zeigt sie keine Inhalte an. Auch kein Menü und bricht ab
Gehe ich auf die playtaste unten im homebildschirm wenn man nach rechts schiebt (da kommen ja dann die musikbedienfelder) und gehe wieder zurück auf das Bild der musikapp dann sind alle Inhalte wieder da und die Musik startet.
Habe auch schon meine intelligenten Wiedergabelisten drastisch reduziert weil es Berichte gibt, das das die app zum Absturz bringt. Was auch der fall ist: die App. Reagiert seit iOS 5 enorm träge.
Hat jemand das auch alles beobachtet? Wann nimmt sich Apple dieser Probleme an?
0
maybeapreacher
maybeapreacher11.11.11 10:34
Wenn meinem Unternehmen (hab keins) jemand derart ans Bein pinkeln würde

?? Charlie Miller ist ein anerkannter Experte wenn es ums Thema Sicherheit geht. Das ist kein ans Bein pinkeln, Leute wie er sind notwendig, damit nicht ein BlackHat die Lücke findet und ausnutzt ohne es vorher Apple zu sagen...
0
Wuselfusel
Wuselfusel11.11.11 10:40
Ausnutzt ohne es vorher Apple zu sagen? klingt komisch. ^^ aber klar was du meinst
0
chill
chill11.11.11 10:51
Apple hätte es lieber gehabt wenn Charlie Miller es der Öffentlichkeit verschwiegen hätte, klar. Dann hätten sie es stillschweigend beheben können, und iOS stände als unangreifbares sicheres System da. Wenn Apple eben nicht fix genug reagiert, wir der Öffentlichkeit die Lücke mitgeteilt. Nix verwerfliches.
MBP M1 256/16 Monterey 12.1 . iPhone 11 128 GB, iOs 15.2
0
MYTHOSmovado
MYTHOSmovado11.11.11 10:52
@Wuselfusel
Wo Du Recht hast...

Ich will ja auch nicht sagen, dass gar keine Fehler passieren, aber zumindest hilft einem die Korrektur (in den meisten Fällen) richtig(er) zu schreiben.
Nichts wird so heiß gegessen, wie es gekocht wurde °°° Tatsachen muss man kennen, bevor man sie verdrehen kann...
0
snake-dsl11.11.11 11:13
"Richtig" kann man nicht steigern!
0
netspy
netspy11.11.11 11:31
@MacTechNews:
Kriminelle konnten so unbemerkt an der App-Store-Prüfung vorbei die volle Kontrolle über iOS-Geräte und deren Nutzerdaten erlangen.

Gibt es hierfür eine Quelle? So wie ich das verstanden habe, erlaubte die Lücke nur das Nachladen von Code - der Code selber läuft aber immer noch innerhalb der Sandbox der App und hat nicht mehr Rechte als die App selbst. Damit kann natürlich viel Unfug angestellt werden aber volle Kontrolle über iOS-Geräte haben sie IMO nicht.
0
apfelrudi11.11.11 11:39
Hallo,
Nochmals komm ich dazwischen mit dem musikapp Problem. Hat irgendjemand einen Tipp für mich?
0
MYTHOSmovado
MYTHOSmovado11.11.11 11:49
@snake-dsl
LOL...und warum, denkst Du wohl, habe ich da Klämmerchen verwendet??
Nichts wird so heiß gegessen, wie es gekocht wurde °°° Tatsachen muss man kennen, bevor man sie verdrehen kann...
0
chessboard
chessboard11.11.11 12:24
?? Charlie Miller ist ein anerkannter Experte wenn es ums Thema Sicherheit geht. Das ist kein ans Bein pinkeln, Leute wie er sind notwendig, damit nicht ein BlackHat die Lücke findet und ausnutzt ohne es vorher Apple zu sagen...

Jau, Charlie Miller ist cool - ich weiß es. Aber was viele einfach nicht kapieren wollen, ist der Unterschied zwischen dem Hacken eines Systems (iOS) von Außen, um Sichterheitslücken zu demonstrieren, und dem Einstellen einer (zumindest potentiellen) Malware-App in den Appstore.
Das Hacken eines iPhones geschieht quasi draußen, wo Apple nichts zu sagen hat, das Platzieren von Malware im Appstore passiert entsprechend auf Apples "Firmengrund", und da hat Apple eben das Hausrecht.
Mit Letzterem verstößt man gegen Apples Developer-Vetrag und dafür setzt Apple einen eben vor die Tür. Ob das von Apple geschickt ist, darüber kann man streiten. De facto ist es aber deren Recht. Dass die Apple-Kontrolle da ebenso versagt hat, spielt dabei keine Rolle. Ich bin mir sicher, dass es da auch hausintern ziemlich gekracht hat.
0
chessboard
chessboard11.11.11 12:35
Um es noch deutlicher zu machen:
Nehmen wir an es gibt einen Hersteller von angeblich total sicheren Haustüren.
Jetzt findet ein Experte heraus, dass die Türen Schwachstellen haben.
Also kauft er sich eine der Türen, beweist seine Annahme in der Praxis - an seiner eigenen Tür! - meldet den Fehler der Firma und geht, als die ihm nicht schnell genug reagiert an die Öffentlichkeit.
So weit so gut. Hier kann der Türenhersteller nichts machen, sofern eben die Schwachstelle nachweislich existiert.
Würde der Experte jetzt aber unter Verheimlichung seiner Absichten das Firmengelände betreten und dort vor Ort heimlich die Schwachstelle demonstrieren, dann kann ihm diese Firma sehr wohl Hausverbot erteilen.
0
Bitsurfer11.11.11 16:03
> chessboard
Du hast es nicht fertiggedacht.
Ich habe in deinem Text Türen mit QS ersetzt, da wir hier von einer Kontrollstelle sprechen die nicht reagiert hat und nicht von einem Produkt.

Nehmen wir an es gibt einen Hersteller von angeblich total sicheren Qualitätsicherungen.
Jetzt findet ein Experte heraus, dass die QS Schwachstellen haben.
Also testet er die QS, beweist seine Annahme in der Praxis - an seiner eigenen Testmethode! - meldet den Fehler der Firma und geht, als die ihm nicht schnell genug reagiert an die Öffentlichkeit.
So weit so gut. Hier kann die QS nichts machen, sofern eben die Schwachstelle nachweislich existiert.

Man kann nur am lebenden Objekt testen ob die QS funktioniert. Ist nunmal so.
0
chessboard
chessboard11.11.11 17:14
Die mangelhafte Qualitätssicherung nachzuweisen war ja nun nicht Millers eigentliches Ziel, sondern eher ein Nebeneffekt, den er so wohl selbst nicht erwartet hatte. Aber, das ist nicht der Punkt.

Die ganze Problematik steckt in dem, was Du beschreibst als:
Also testet er die QS
Genau dieses Testen, was Du so lapidar erwähnst, erfordert nämlich eine ganz bestimmte Handlung von Miller, sonst funktioniert der Test nicht. Und mit dieser Handlung verstößt er automatisch gegen die Developer- bzw. Appstore-Richtlinien. Das muss ihm bewusst gewesen sein, sonst wäre er hoffnungslos naiv. Das ganze ist natürlich ein Dilemma.
Aber auch in den griechischen Tragödien erwischt es halt den Held, der vor einem Dilemma steht, so oder so.
Und da er keine Ausnahmegenehmigung von Apple zum Testen der QS hatte, hat Apple ihn rechtlich korrekt und begründet vor die Tür gesetzt. Dass das natürlich eine ganz eindeutige Machtdemonstration Apples zur Einschüchterung ist, ist mir auch klar.
0
sierkb11.11.11 17:47
chessboard:
Dass das natürlich eine ganz eindeutige Machtdemonstration Apples zur Einschüchterung ist, ist mir auch klar.

So einem Mann demonstriert man nicht Macht und legt ihm Knüppel zwischen die Beine und schüchtert ihn ein, so einem Mann macht man ein Job-Angebot, das er nicht ablehnen kann und stellt ihn stantepede ein, sodass er seine Arbeit fortsetzen kann innerhalb des Apple-Zirkels!
Man könnte es auch so sehen: so wie Apple ihm gegenüber gehandelt hat, das grenzt an Dummheit und zeigt wenig vorausschauendes Denken und wenig Fingerspitzengefühl seitens Apple.
0
chessboard
chessboard11.11.11 20:36
sierk
Da gebe ich Dir absolut recht! Ist ja auch nicht das erste Mal, das Apple mit seinem betont rigiden Durchgreifen voll ins ..., nein ich schreib' das jetzt nicht , also voll ins Fettnäpfchen tritt. Man denke nur an die Aktion wegen des zweiten vermissten iPhone-Prototypen. Oder wie Apple gegen vermeintliche und wirkliche Plagitatoren oder Patentverletzer vorgeht. In der Hinsicht fasst Apple Nichts und Niemanden mit Samthandschuhen an.
Aber, es ist nicht meine Aufgabe, Apple zu verstehen. Ich denke nur, dass Miller sich seiner Sache oder seiner Reputation offensichtlich zu sicher gewesen sein muss, wenn er sich über Apples Reaktion wundert. Mich wundert es nicht, dass Apple hier seinen rechtlichen Spielraum voll ausreizt. Deren "Grund und Boden" - in realer wie in ideeller Hinsicht - ist ihnen heilig. Da darf auch kein Charles Miller drauf rumspielen.
0
chessboard
chessboard11.11.11 20:43
So einem Mann demonstriert man nicht Macht und legt ihm Knüppel zwischen die Beine
Du bist ein Idealist. Aber so ticken doch diese Firmen nicht. Möglicherweise hat sich noch bei Google ein Rest dieser Einstellung erhalten (abseits der Cashcow Google-Suche), bei Apple, Microsoft, Adobe und wie sie alle heißen zählt der unbeeinträchtigte Glanz des eigenen Produktes und das .
0
MacMark
MacMark11.11.11 21:40
Codesign-Ausnahme in iOS in Version 4.3 und 5:
@macmark_de
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.