Forum

mbs

Re: Apple und die Sicherheit
Antwort #45: Mai 25, 2008, 11:13:00
Zitat
Wieder falsch "Core Security" sieht auch am Schluß noch ein, daß es nicht die von ihnen behaupteten "Integer-Overflows" sind, sondern Null-Pointer, wie Apple ihnen erklärte. Damit läßt sich kein Code einschleusen. Dann sagt "Core Security" noch: "Ach Menno, das sind aber wollja Sicherheitsbugs, menno wollja so." Das ist peinlich, vor allem weil sie das auch noch selbst veröffentlichen.

Nein, das ist ehrlich und professionell. Warum vermeidest Du, auf die vorgetragenen Sachargumente einzugehen?

Zitat
Aber man sieht, daß - ähem - "Sicherheitsfirmen" bei OS X sogar aus nicht-ausnutzbaren Programmierfehlern einen Elefanten machen können.

Es wurde Dir bereits mehrmals gesagt, dass damit trotzdem ein Local-Denial-of-Service-Angriff möglich ist. Das ist eine ausnutzbare Sicherheitslücke. Warum lenkst Du davon ab?

Zitat
Was bilden die sich überhaupt ein, Forderungen an Apple zu stellen, wann Apple was wie und warum fixt?

Weil sie und Millionen andere Kunden viel Geld für ein Produkt ausgegeben haben, das nicht wie versprochen funktioniert. Weil sie - je nach Land, in dem das Produkt verkauft wurde - ein gesetzliches Recht auf Reparatur des Defektes in angemessener Zeit haben. Weil abgespochene Vereinbarungen einseitig gebrochen wurden. Weil ein Gefährdungspotenzial bei der Nutzung des Produktes besteht, für das der Hersteller - je nach Land - haften muss. Weil sie kostenlos Apples Hausaufgaben machen und damit Apple viel Geld einspart.

Zitat
Daß "Core Security" seine Fehler auf eigener Web-Seite selbst zugibt, erleichtert die Sache doch

Du machst das sehr geschickt, Core wegen eines Fehlers, der in der Diskussion überhaupt keine Rolle spielt, als inkompetent hinzustellen. Von den wirklichen Sachargumenten lenkst Du völlig ab.

Zitat
Das kann man auch im Quellcode nachweisen. Dort gibt es nichts zu interpretieren. Quellcode ist eindeutig.

Du unterschlägst dabei, dass Core der Quellcode nicht vorliegt. Sie können nur durch sehr aufwendiges, sehr teures Reverse Engineering versuchen, der Ursache und den möglichen Folgen der Programmierfehler von Apple auf die Spur zu kommen. Dass hierbei Fehler passieren, ist fast zwangsläufig.

Es ist das gesetzlich verbriefte Recht des Kunden, einen Hersteller auf einen gefährlichen Produktmangel hinzuweisen und dessen Behebung zu verlangen. Es ist nicht die Aufgabe des Kunden, die Ingenieurarbeit des Herstellers zu machen und den Mangel auf seine Kosten so genau zu analysieren, dass dieser nur noch die Erkenntnisse integrieren muss, vor allem dann nicht, wenn es um ein Produkt geht, dessen technische Funktionsweise der Hersteller geheim zu halten versucht.

Zitat
Ich kann "Security"-Firmen nicht leiden, wenn sie sich aufspielen und aus harmlosen Bugs

Es sind drei Sicherheitlücken, keine harmlosen Bugs. Aber Du bestätigst ja nun selbst, dass Du voreingenommen bist und an den Tatsachen wenig interessiert.

MacMark

  • Diplom Informatiker (Uni), Objective-C Entwickler
Re: Apple und die Sicherheit
Antwort #46: Mai 25, 2008, 13:28:45
Ein Null-Pointer ist keine Sicherheitslücke. Den durch eine manipulierte Datendatei provozierten Absturz eines Anwendungsprogrammes als "Denial of Service" zu bezeichnen, ist grotesk, zumal es umittelbar danach wieder lauffähig ist.

Kennst Du die Fabel vom Hütejungen, der sich daran erfreute, die Schäfer zu ärgern, indem er immer rief "Ein Wolf!", obwohl kein Wolf kam? Nach einer Weile hörten sie nicht mehr auf ihn. Dummerweise kam dann tatsächlich ein Wolf …
Die Hütejungen von heute sind bestimmte "Sicherheits"-Firmen, die immer schreien "Eine Sicherheitslücke!" und das auch bei jedem wirklich ungefährlichem Bug. Offenbar geht es ihnen hauptsächlich um eigene Publicity und darum deklarieren sie zu oft harmlose Bugs als Sicherheitslücken.
_______
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars

Patrick

  • 4 - 8 - 15 - 16 - 23 - 42
Re: Apple und die Sicherheit
Antwort #47: Mai 26, 2008, 00:17:53
Anscheinend ist hier der Sachverhalt immer noch nicht ganz klar.

Im ursprünglichen Bugreport ging es um insgesamt 4 Bugs, 1 davon im WikiServer, der ziemlich bald abgespalten wurde und hier weiter geführt und von Apple ja auch schon gepatcht wurde.

Die anderen 3 betreffen iCal, 2 davon führen durch falsche Parameter in .ics-Dateien zum Absturz von iCal, der dritte jedoch kann tatsächlich zum Einschleusen von fremden Code verwendet werden.
Apple stellt auch nie in Frage, daß der 3. Bug ein Sicherheitsproblem ist. Die ersten beiden "Null-Pointer"-Bugs (wobei es eigentlich nicht um Null-Pointer an sich geht, sondern darum, daß ein Null-Pointer so verwendet wird, als ob er er auf einen gültigen Speicherbereich zeigt, siehe zB hier) möchte Apple als normale Bugs und nicht als Sicherheitslücken sehen.

Bei weniger komplexen Systemen könnte man das vielleicht sogar durchlassen, aber bei einer Software, die Teil eines Betriebssystems ist, wohl eher nicht. Und wenn man Mark Dowd von der IBM X-Force glauben kann, dann kann man sehr wohl aus einer Null Pointer Dereferenzierung einen Exploit generieren, siehe die Meldung bei zdnet, die sich auf ein Whitepaper über einen eben solchen Exploit in Flash bezieht.

Also: es gab (und gibt immer noch) eine Schwachstelle in iCal, die definitiv zur Ausführung fremden Codes verwendet werden kann. Es gibt mind. noch 2 weitere Bugs, bei denen nicht ausgeschlossen werden kann, daß sie für einen Exploit verwendet werden könnten.

Somit scheint es für mich so zu sein, daß Apple ein weiteres Security-Update vor dem Erscheinen von 10.5.3 vermeiden möchte. Letzteres hätte schon längstens erscheinen müssen (ursprünglich war von März/April die Rede), wurde aber wohl wie so manches Update davor verschoben (mbs weiß vielleicht sogar warum, aber dummerweise gibt's da das dumme NDA ;) ).

Für mich ein klarer Fall von Publicity vor Security.
_______
Dr. Jones: Well I can assure you, Detective Britten, that this is not a dream. What?
Michael: That's exactly what the other shrink said. (Awake 1x01)

MacMark

  • Diplom Informatiker (Uni), Objective-C Entwickler
Re: Apple und die Sicherheit
Antwort #48: Mai 26, 2008, 14:35:27
...Im ursprünglichen Bugreport ging es um insgesamt 4 Bugs, 1 davon im WikiServer,  ...
Die anderen 3 betreffen iCal, 2 davon führen durch falsche Parameter in .ics-Dateien zum Absturz von iCal, der dritte jedoch kann tatsächlich zum Einschleusen von fremden Code verwendet werden.
...
Somit scheint es für mich so zu sein, daß Apple ein weiteres Security-Update vor dem Erscheinen von 10.5.3 vermeiden möchte. Letzteres hätte schon längstens erscheinen müssen (ursprünglich war von März/April die Rede), wurde aber wohl wie so manches Update davor verschoben ...
Für mich ein klarer Fall von Publicity vor Security.
Ich korrigiere mal die auf den ersten Blick offensichtlichen Fehler:

Core Security hatte "ursprünglich" keine Ahnung, daß der Wiki-Server betroffen ist. Sie dachten bis Anfang April, es wäre der iCal Server. Beweis von Core Security:
"2008-03-04:  Vendor provides information concerning CVE-2008-1000 and indicates that the bug is in the Wiki server and not the iCal Server."

Wie soll denn im März oder April ein Fix ausgeliefert werden können für Bugs, über die sie sich noch Mitte April streiten bzw. die Bugs untersuchen. Beweis von Core Security:
"2008-04-17: Vendor states .... The root cause of the crash is a NULL pointer de-reference and not an integer overflow."
"2008-04-17:  Core confirms that the two first bugs can be considered crasher only due to null-pointer dereference. Upon further research it is confirmed that integer overflows are detected and do not cause the actual crashes."

Natürlich ist hier Publicity wichtiger - und zwar für Core Security, die einen Patch "fordern", bevor betroffene Fehler überhaupt voll analysiert sind.

Noch eine Frage: Mußtest Du wirklich bei Wikipedia nachschauen, was ein Nullpointer ist? Die Beschreibung ist dermaßen hölzern ...

Noch ein Nachtrag: Die iCal.app ist kein "Teil des Betriebssystems" und darum sind Nullpointer-Probleme darin dermaßen Banane für die Sicherheit von OS X wie der berühmte Sack Reis in China.
« Letzte Änderung: Mai 26, 2008, 14:47:46 von MacMark »
_______
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars

Patrick

  • 4 - 8 - 15 - 16 - 23 - 42
Re: Apple und die Sicherheit
Antwort #49: Mai 26, 2008, 16:05:33
Ich korrigiere mal die auf den ersten Blick offensichtlichen Fehler:
Ich auch: der iCal- später Wiki-Server-Bug hat mit den von Dir die ganze Zeit angesprochenen Bugs (Nullpointer) nichts, aber auch gar nichts zu tun.
Zitat
2008-02-18: Vendor replies that the iCal Server (CVE-2008-1000) vulnerability is tracked for a fix in an upcoming update and the vulnerabilities in the iCal client application will be fixed in an update following the early March software update.

Daraufhin spaltet Core den späteren WikiServer-Bug am 19.02. ab. Am 18.03. veröffentlicht Apple den Patch und Core den Report dazu:
Zitat
2008-03-18: APPLE-SA-2008-0318 software update released.
2008-03-18: CORE-2008-0123 is published.

Ach ja, Apple informierte Core übrigens am 04.03. und nicht am 03.04. Man sollte mit der Schreibweise des Datums schon vertraut sein...

Somit ist das Thema WikiServer-Bug erledigt. Hast Du sogar selbst darauf hingewiesen.

Somit ist der Rest wiederum klar, oder? Du lässt natürlich die ganze Zeit den 3. Bug in iCal völlig außer acht, der unbestreitbar eine Sicherheitslücke darstellt. Darum geht es doch eigentlich. Die anderen sind Nebenschauplätze und wie man sieht hervorragend für Diskussionen über deren Schädlichkeit geeignet. Aber trotzdem gilt für alle 3 Bugs, daß Apple den Termin für den Bugfix seit Ende März vor sich hinschiebt. Lassen wir mal die beiden Nullpointer-Bugs einfach weg, die Diskussion führt hier nicht weiter.

Was ist mit dem 3. Bug?
_______
Dr. Jones: Well I can assure you, Detective Britten, that this is not a dream. What?
Michael: That's exactly what the other shrink said. (Awake 1x01)
Re: Apple und die Sicherheit
Antwort #50: Mai 26, 2008, 16:59:49
Könnten wir uns dem Thema widmen und nicht den Diskutanten durch die Blume ständig irgendwelche Dinge vorwerfen?
Es ist egal, ob jemand des Englischen gut genug mächtig ist, lesen kann oder ein Datum richtig schreibt, man kann höflich darauf hinweisen, aber was hier passiert ist immer haarscharf an einer Beleidigung vorbei gesegelt. Dieser Stil missfällt mir und bestimmt auch anderen sehr. Diese Tonart mag in anderen Foren an der Tagesordnung sein, hier sind wir üblicherweise netter im Umgang miteinander.

Und daran sollte sich bitte jeder halten. Es hat niemand etwas von einem Bug-Thread, der über 3 Seiten mit Beschuldigungen untereinander abläuft. Sieht echt hässlich aus.

MacMark

  • Diplom Informatiker (Uni), Objective-C Entwickler
Re: Apple und die Sicherheit
Antwort #51: Mai 26, 2008, 19:59:41
Bei dem Wiki-Bug ging es mir nur darum zu zeigen, daß Core vollkommen falsch lag: Nicht der iCal-Server, sondern der Wiki-Server hatte das Problem.

Ferner ist die Behauptung, Apple würde den Fix für die beiden Null-Pointer-Bugs herauszögern, vollkommen unhaltbar, denn wie könnte Apple einen Bugfix im März, April oder Mai herausgeben, wenn man am 2008-04-17 noch zwischen den Parteien klärt, worin der Bug überhaupt besteht?
http://www.coresecurity.com/?action=item&id=2219
Fehleranalyse, Bugfix und Test und gegebenenfalls eine weitere Iteration dauern und bei der Gelegenheit werden sie normalerweise gleich noch ein paar andere Dinge mitfixen. Außerdem sind Null-Pointer-Fehler in einem lokalem Userland-Kalendarprogrämmchen in keiner Weise sicherheitsrelevant und haben daher geringere Priorität als sicherheitsrelevante Bugs. Deswegen so einen Aufriß zu machen ist nicht angemessen.
_______
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars

Patrick

  • 4 - 8 - 15 - 16 - 23 - 42
Re: Apple und die Sicherheit
Antwort #52: Mai 27, 2008, 05:53:55
MacMark,

wann antwortest Du mal zum Haupt-Bug des eigentlichen Bug Reports? Der Rest ist doch schon lange gegessen.

Was ist mit dem 3. Bug?

Also: es gab (und gibt immer noch) eine Schwachstelle in iCal, die definitiv zur Ausführung fremden Codes verwendet werden kann.

Es sind drei Sicherheitlücken, keine harmlosen Bugs. Aber Du bestätigst ja nun selbst, dass Du voreingenommen bist und an den Tatsachen wenig interessiert.

Ich kenne Dich zu wenig, als daß ich das wirklich beurteilen könnte, aber man könnte schon fast Methode dahinter vermuten und ein solches Verhalten schreibt man normalerweise einer bestimmten Spezies von Forenbenutzern zu.

_______
Dr. Jones: Well I can assure you, Detective Britten, that this is not a dream. What?
Michael: That's exactly what the other shrink said. (Awake 1x01)

MacMark

  • Diplom Informatiker (Uni), Objective-C Entwickler
Re: Apple und die Sicherheit
Antwort #53: Mai 27, 2008, 08:05:36
... schon lange gegessen.
Bedeutet "gegessen", daß nun offensichtlich wurde, daß man nichts fixen kann, solange das zu Fixende noch diskutiert wird? Und daß Null-Pointer in lokalen Userland-Programmen keine Sicherheitslücke seien können? Dann betrachte diese Punkte als "gegessen".
Was ist mit dem 3. Bug?
Da waren sich Apple und Core in der Bedeutung einig.
Also: es gab (und gibt immer noch) eine Schwachstelle in iCal, die definitiv zur Ausführung fremden Codes verwendet werden kann.
Zumindest betrachtet Apple "Nr. 3" als Sicherheits-Bug. Apple hat seit Anfang März bis Mitte April sechs Software-Updates, darunter ein Security-Sammel-Fix, herausgegeben. Wenn sie den Bugfix schon fertig hätten, wäre er darunter gewesen. Und ich bin mir sicher, sie würden auch noch ein achtes oder neuntes Software-Update rausgeben vor 10.5.3, wenn sie etwas fertig hätten. Sie haben bereits sechs Updates in sechs Wochen gemacht. Glaubt irgendwer ernsthaft "sieben Updates in zehn Wochen" wären dann ein Problem? Kann ich mir nicht vorstellen.

Daher ist die Argumentation die ich oben lesen mußte "Apple scheut ein weiteres Update/Security-Fix vor 10.5.3" nicht haltbar.

Es sind drei Sicherheitlücken, keine harmlosen Bugs.
Die beiden Nullpointer sind keine Sicherheitslücken. Jedem Berufsprogrammierer sollte das technisch klar sein.

... voreingenommen ... an den Tatsachen wenig interessiert. ...
Unterlaß bitte Diffamierungen.
_______
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars

MacMark

  • Diplom Informatiker (Uni), Objective-C Entwickler
Re: Apple und die Sicherheit
Antwort #54: Mai 29, 2008, 10:19:17
Sooooooooo: Obwohl Apple 10.5.3 herausgebracht hat, gibt es sogar trotzdem ein Security-Update:
http://www.apple.com/support/downloads/securityupdate2008003intel.html
http://www.apple.com/support/downloads/securityupdate2008003ppc.html
Technisch würde auch 10.5.3 als Fix genügen, aber man kann mit diesem "Security Update 2008-003" auch nur die Bugs beheben ohne auf 10.5.3 zu gehen.
Da macht Apple sich also aus Sicht einiger hier einen völlig unnötigen Image-Schaden mit dem "Security Update 2008-003". Ganz offensichtlich geht es Apple _nicht_ darum ein Security Update zu vermeiden, sondern im Gegenteil, sie liefern sogar noch ein Security Update, _obwohl_ es eine Alternative gibt. Apple ist offensichtlich sein "Image" Wurst und die Sicherheit von OS X wichtiger. Von vielen hier bezweifelt, aber trotzdem wahr. Was zu beweisen war.
_______
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars

Patrick

  • 4 - 8 - 15 - 16 - 23 - 42
Re: Apple und die Sicherheit
Antwort #55: Mai 29, 2008, 11:40:12
So kann man sich die Wahrheit auch zurechtbiegen.

Zitat
Cal
CVE-ID: CVE-2008-1035

Available for: Mac OS X v10.5 through v10.5.2, Mac OS X Server v10.5 through v10.5.2

Impact: Opening a maliciously crafted iCalendar file in iCal may lead to an unexpected application termination or arbitrary code execution

Description: A use-after-free issue exists in the iCal application's handling of iCalendar (usually ".ics") files. Opening a maliciously crafted iCalendar file in iCal may lead to an unexpected application termination or arbitrary code execution. This update addresses the issue by improving reference counting in the affected code. This issue does not affect systems prior to Mac OS X v10.5. Credit to Rodrigo Carvalho of Core Security Technologies for reporting this issue.

Sicherheitsupdates waren AFAIK immer losgelöst von OS Updates. Apple sagt auch, daß alle Fehler sicherheitsrelevant waren, sonst hätte man ja die angeblich normalen Bugs im OS Update verpacken können.
Es wurde bisher auch nie gesagt, daß es darum geht, ein Sicherheitsupdate zu vermeiden, sondern so lange mit dem Patch zu warten, bis 10.5.3 veröffentlicht wird.

So geschehen. q.e.d.
_______
Dr. Jones: Well I can assure you, Detective Britten, that this is not a dream. What?
Michael: That's exactly what the other shrink said. (Awake 1x01)
Re: Apple und die Sicherheit
Antwort #56: Mai 29, 2008, 12:07:16
Sooooooooo: Obwohl Apple 10.5.3 herausgebracht hat, gibt es sogar trotzdem ein Security-Update:

Kann man diese Updates denn unter 10.5.2 überhaupt installieren? Ich hatte das so verstanden, dass die für 10.4.11 sind.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Apple und die Sicherheit
Antwort #57: Mai 29, 2008, 12:20:39
Hier wird auch gemeldet, daß man die Sicherheitslücken ohne 10.5.3 stopfen kann:
http://www.macnews.de/news/108548.html

Die Angabe von Apple "10.4.11 or later" finde ich auch etwas schwammig.
Re: Apple und die Sicherheit
Antwort #58: Mai 29, 2008, 12:21:46
Kann man diese Updates denn unter 10.5.2 überhaupt installieren? Ich hatte das so verstanden, dass die für 10.4.11 sind.

Bei Softwareaktualisierung unter 10.5.2 wurden dieses Update jedenfalls nicht angezeigt.

Und jetzt, mit installiertem 10.5.3, auch nicht.

Patrick

  • 4 - 8 - 15 - 16 - 23 - 42
Re: Apple und die Sicherheit
Antwort #59: Mai 29, 2008, 12:34:43
Guckst Du hier:

http://support.apple.com/kb/HT1897

Die einzelnen Patches beziehen sich teilweise auf verschiedene Versionen, Client und/oder Server, stellenweise sogar nur für .4.11. Statt viele einzelne Patches werden die halt in einem Paket zusammengefasst und die notwendigen dann halt durchgeführt.

_______
Dr. Jones: Well I can assure you, Detective Britten, that this is not a dream. What?
Michael: That's exactly what the other shrink said. (Awake 1x01)