Konkurrenz lesen bildet: , Die Lücke ist eher in Java als in Safari, auf jeden Fall funktioniert es auch mit Firefox.

Solche "Wettbewerbe" machen somit Sinn! Hoffentlich dient auch alles zur Qualitätssicherung Apples und wird entsprechend prioritär von Apple gefixt resp. die Entwicklungen sauber beobachtet.

Vermutlich ist auch FireFox betroffen @@

Kein System ist 100% sicher!
Aber das es nicht gelang root Rechte zu erlangen ist doch schon mal gut.

die regeln waren etwas anders als beschrieben. zu gewinnen waren

a. ein mbp 15'' für einen hack mit user-rechten
b. ein mbp 17'' für einen hack mit root-rechten
c. 10.000 $ für einen neuen zero-day-exploit

am ersten tag hingen die beiden mbp's völlig passiv am netz und keinem gelang ein crack. ab dem zweiten tag haben sie alle fünf minuten die vom angreifer veränderbbaren links eines wikis mit safari angesurft.

am ersten tag kam niemand rein, am zweiten wurde der mbp 15'' wie geschildert gecrackt. der root zugang auf dem 17'' mbp gelang niemand. allerdings wäre hierfür nach den regeln auch ein neuer exploit nötig gewesen. der beim 15'' mbp erfolgreiche konnte also nicht mehr verwendet werden, um überhaupt erst mal in das system einzudringen.

"Ob Apple bereits informiert wurde, ist nicht bekannt"
lesen die keine news ?

wie peinlich. die regeln so lange abzuschwächen bis man endlich die "sensationsmeldung" hat mac os x sei gecrackt.
zzz

Man hat demzufolge nicht Mac-OS gehackt sondern Javaskript (oder Java - je nach Blogseite)

Dass man aber mit Javaskript ziemlich böse Dinge tun kann, für die Javaskript eigentlich gar nicht gedacht war, ist ja aber schon länger bekannt.

Gehakt wurde also nicht das OS sondern mal wieder wurde gezeigt, wie unsicher "Web 2.0" sein kann.
Das finde ich durchaus wichtig - hat aber mit einem Hack von OS-X so ziemlich gar nicht nichts zu tun. So ein Angriff dürfte nämlich auf jeder Plattform möglich sein auf der ein Browser läuft bei dem Java/Javaskript aktiviert ist.

@ela:
glaub ich nicht, das dies automatisch auch auf anderen systemen funktioniert, da ich denke, dass die plugins/browser systemspezifisch sind.
ich vermute mal, dass sogar die java-vm auf den verschiedenen systemen unterschiedlich reagieren würde..

@ela: Javascript hat überhaupt nichts mit Java zu tun.

drBen Peinlich ist Deine Sichtweise. Wenn ich mit DEINEN Rechten DEINEN Benutzerordner leer mache, dann schauen wir mal ob Du das immer noch als unproblematisch siehst.

Haben Mac-User keine Ahnung von Computern oder einfach nur Scheuklappen auf?

gaspode Müssen manche sofort von einem auf alle Mac User schliessen?

Leute(!) Kommt wieder runter(!)

Der Fehler betrifft vermutlich alle auf dem Webkit basierenden Browser. Und es ist ein Java-Problem.

gaspode

oh ... na dann habe ich jetzt schon richtig angst.
trau mich gar nicht mehr ins netz.

(policeman)(policeman)

Betrifft auch Non-Webkit-Browser, also Firefox unterm Mac ist auch davon betroffen


"Turn off Java; to be safe, until Dino lets us say more, turn off
everything else too. Or live dangerously like me. You don’t have to
be more secure than Windows to be safer than it."


-macbook-challenge-won/


Für Firefox gibt es ein nettes Tool (NoScript)
mit dem JavaScript und Java-Erweiterungen starten lassen kann oder blockt usw.

Naja, Root Rechte haben sie schon mal nicht erlangt und eine Lücke bei Java gefunden.
Also eigentlich keine Lücke im OS X. Das ist im Vergleich zu dem, was auf der Industriestandard Lösung namens Windows abläuft sehr positiv zu bewerten.
Also gilt es diese Lücke bei Java schnell zu schliessen und gut ist.
100% sicher kan kein System sein, wenn es Leute darauf anlegen, irgendwo eine Lücke zu finden. aber wie man sieht geht das bei OS X wohl nicht so einfach wie bei Windows, aber das es theoretisch geht, stellt auch kein vernünftiger Mensch in Abrede. Fazit bleibt trotzdem: OS X ist zur Zeit (noch) die sicherste Variante im Netz unterwegs zu sein und Apple leistet ja im allgemeinen eine gute Arbeit beim Schliessen von Sicherheitslücken.
Ist ja auch nach wie vor ein Kernargument für die Nutzung eines Mac unter OS X und nicht unter BootCamp mit diesem Schrott aus Redmond...

@diddom: Das ist Trollerei. OSX in einer Standardkonfiguration mag zwar gegen Windows in einer Standardkonfiguration vergleichsweise sichere Netzbesuche erlauben, ist aber bestimmt nicht "die sicherste Variante, um Netz unterwegs zu sein". Apple leistet beim Schließen von Sicherheitslücken vielleicht im Allgemeinen bessere Arbeit als Microsoft, braucht aber trotzdem teilweise Monate für bei SUN schon bekannte und gefixte Lücken in Java.

Was ich persönlich an dieser "Sicherheitskonferenz" am besten fand, war die Sponsorenliste. Vor allem Nr. 2 von kam mir bekannt vor.

Es scheint in letzter Zeit ein gesteigertes Interesse daran zu geben, um gewisse Frickelware anderer Anbieter aus dem medialen Kreuzfeuer zu nehmen und um den "Sicherheitsfirmen" einen neuen Markt zu eröffnen.

Allerdings ist Sicherheit kein Zustand sondern ein Prozess. Das immer brav MTN lesen, und wenn mal was wirklich bedrohliches um die Ecke kriecht, Gegenmaßnahmen ergreifen.

Ich bin jedoch der Meinung, das MTN nicht auf die Panikmache der Trolle aus Hannover reinfallen sollte(die sind unter eurem Niveau). Die Jung haben ein paar ganz vehemente Mac-Hasser an Bord und ausserdem müssen sie ja ihre Trolle füttern.

Wenn der Hack Java-Script-basiert ist, ist es keine echte Neuigkeit, denn JS ist auf allen Plattformen löcherig und Sicherheitsexperten wie Steve Gibson(Security Now Podcast) empfiehlt Java-Script im Browsern generell auszuschalten. Nur braucht man sich als Macianer aufgrund des Marktanteils keine großen Sorgen machen - wenn man nicht oft auf "schäbigen Seiten" unterwegs ist eh nicht.

mfg
Marcus

diddom: apple ist da ganz anderer ansicht. die behaupten doch tatsächlich, java sei ein bestandteil von osx. was gehört denn für dich zu osx? etwa nur der xnu-kernel?

murmillo: du könntest dein argument auch noch ausdehnen und einfach feststellen, dasss ja längst bekannt sei, dass in c geschriebene programme zu buffer-overflows neigen. wenn sowas bei deinem geliebten betriebsystem auftritt, ist dann halt c schuld und das ganze keine nachricht wert.

und zu den "schäbigen" seiten gehörte für windowsbenutzer zuletzt z.b. die von acer.

Tekl: Ach was, erzähl mir mal was Neus
Lies doch mal was ich geschrieben habe.
Zu diesem Hack gibt es verschiedene Blogs - die einen reden von Java, die anderen von Javaskript. Daher meinte ich, dass man dieses eben deaktivieren sollte (je nachdem welchem Blog man Glauben schenkt)

Das Java böse ist weiß wohl jeder.
Das man mit Javascript aber auch ziemlich heftige Dinge tun kann ist nicht jedem Bekannt - wird aber so oder so reichlich diskutiert im Netz.

Ergo: Scripting abschalten und man ist relativ sicher (egal welches OS)

Das Problem: Welche Webseite läuft schon noch ohne Scripting?

Also schwere Sicherheitslücke?

Ich habe mir sagen lassen das es damit nur möglich ist einen Befehlt zu senden.

genau - nur einen winzig kleinen befehl: sh

pünktchen:

1. Sehr cleverer Vergleich: C ist eine Programmiersprache zum erstellen von Programmen. Java-Script ist eine Script-Sprache die diese Scripts in einer Sandbox ausführen soll, um genau das was hier passiert ist zu verhindern. Wenn es trotzdem(auf allen Plattformen) passiert, dann ist das wirklich unschön.

2. Und ja, Apple sollte versuchen Sicherheitsmechanismen gegen Buffer-Overflows zu entwickeln. Das müsste dann aber anders laufen als bei Vista, denn tatsächlich sicherer als vorher ist da nur die 64 Bit-Version die keiner einsetzen kann und will(hört man so).

3. Ja, ich mag Mac OS X, wenn das anders wäre, sollte ich vielleicht eine andere Nachrichtenseite wähle. Ich denke aber, dass ich gute Gründe habe es zu mögen.

4. Ich muss jetzt zu einen Freund, der sich seinen halbjährlichen Virus/Wurm/Rootkit/Trojaner gezogen hat. Zur Zeit hat irgendwas seine DNS-Einstellungen manipuliert, so dass er wenn er sich auf seine Fritz Box einloggen will, auf eine Pornoseite umgeleitet wird.

5. Das Acer schäbig ist, hast du gesagt