ausblenden > Apple
Apple und die Sicherheit
MacMark:
Ein Teil der Bugs ist mit einem Security-Update behoben worden:
http://support.apple.com/kb/HT1249
Core Security wird dort als Quelle genannt. Core Security schreibt nichts von "Falschinformationen", sondern daß Apple darauf hinwies, daß der Fehler nicht im iCal-Server, sonder im Wiki-Server lag.
Die ausstehenden Bugs werden mit dem nächsten Apple-Security-Update behoben laut Core Security. Wie immer mit Bugbeschreibung und Quelle. Nix mit "Verstecken" in irgendwas anderem.
mbs:
--- Zitat ---Core Security schreibt nichts von "Falschinformationen"
--- Ende Zitat ---
Bitte lies genauer: Ich schrieb "wurde mehrmals mit falschen Informationen abgespeist, wann das Problem korrigiert wird."
--- Zitat ---Die ausstehenden Bugs werden mit dem nächsten Apple-Security-Update behoben laut Core Security. Wie immer mit Bugbeschreibung und Quelle. Nix mit "Verstecken" in irgendwas anderem.
--- Ende Zitat ---
Wir werden sehen ...
Patrick:
--- Zitat von: MacMark am Mai 23, 2008, 18:02:05 ---Die ausstehenden Bugs werden mit dem nächsten Apple-Security-Update behoben laut Core Security. Wie immer mit Bugbeschreibung und Quelle. Nix mit "Verstecken" in irgendwas anderem.
--- Ende Zitat ---
Naja, es ist aber schon merkwürdig, daß einer von 3 Bugs im März gepatcht wird, die anderen beiden dann Mitte April auch soweit behoben sind (so liest es sich zumindest in der Timeline), Apple es aber nicht für nötig erachtet, diesen Patch zu veröffentlichen. Statt dessen wird Mitte April von Ende April, später dann von Anfang Mai, dann von Mitte Mai und schliesslich von Ende Mai als Veröffentlichungstermin gesprochen. Und ist was passiert? Nö.
Wenn das nicht hinhalten ist, weiß ich auch nicht.
Ich denke, daß Core das genauso gesehen hat, schliesslich wurde der Bug veröffentlicht, bevor es einen offiziellen Patch von Apple gab, nachdem man sich fast 6 Wochen hat hinhalten lassen.
MacMark:
Ist immer wieder lustig, daß Externe glauben, es besser als Apple zu wissen. Da steht nichts von behoben. Ich sehe allerdings, daß "Core Security" mit seiner Fehleranalyse falsch lag und im Laufe der Zeit durch Apples eigene Untersuchung korrigiert wurde:
• Vendor (Apple) states … The root cause of the crash is a NULL pointer de-reference and not an integer overflow.
• Core confirms that the two first bugs can be considered crasher only due to null-pointer dereference. Upon further research it is confirmed that integer overflows are detected and do not cause the actual crashes.
Core hat also erst einen qualitativ minderwertigen Bugreport geliefert, der Apple zusätzliche Analysearbeit bescherte, dann haben sie sich korrigieren lassen und machen anschließend auf dicke Hose, wann ein Patch käme.
Core hat bei seinen Bugreports mehrmals diverse Fehler gemacht: Falsche Komponenten angegeben, falsche Ursache angegeben etc. Das ist weder kompetent noch hilfreich. Aber auf ein Fixdatum pochen. Das paßt doch nicht zusammen.
mbs:
--- Zitat ---Ist immer wieder lustig, daß Externe glauben, es besser als Apple zu wissen.
--- Ende Zitat ---
Das ist nicht lustig, das ist leider die Realität. Apple ist auf externe Hilfe angewiesen.
--- Zitat ---Da steht nichts von behoben.
--- Ende Zitat ---
Natürlich nicht, denn diese Information steht normalerweise unter NDA.
--- Zitat ---Ich sehe allerdings, daß "Core Security" mit seiner Fehleranalyse falsch lag und im Laufe der Zeit durch Apples eigene Untersuchung korrigiert wurde:
--- Ende Zitat ---
Ja, aber diese Korrektur ist falsch. Erstens ist es zwangsläufig, dass unterschiedliche Ansichten über die Einstufung dieser Fehler bestehen, da es sich nicht um ein quelloffenes Produkt handelt. Zweitens ist in diesem Kontekt auch ein Crasher eine Sicherheitslücke, da damit ein lokaler Denial-of-Service-Angriff möglich ist. Drittens argumentiert Core über den Satz von Rice, dass bei einem Produkt dieser Komplexität die Frage nach der Ausnutzbarkeit der Sicherheitslücke formal unentscheidbar ist.
--- Zitat ---Core hat also erst einen qualitativ minderwertigen Bugreport geliefert, der Apple zusätzliche Analysearbeit bescherte,
--- Ende Zitat ---
Nein, das ist eine bornierte Beurteilung.
--- Zitat ---Core hat bei seinen Bugreports mehrmals diverse Fehler gemacht: Falsche Komponenten angegeben, falsche Ursache angegeben etc.
--- Ende Zitat ---
Du scheinst wenig Erfahrung mit Bugreports zu haben, sonst würdest Du das anders einschätzen.
--- Zitat ---Aber auf ein Fixdatum pochen.
--- Ende Zitat ---
Die Fixdaten wurden von Apple genannt und mehrmals nicht eingehalten.
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln