ausblenden > Apple
Apple und die Sicherheit
mbs:
--- Zitat ---Wieder falsch "Core Security" sieht auch am Schluß noch ein, daß es nicht die von ihnen behaupteten "Integer-Overflows" sind, sondern Null-Pointer, wie Apple ihnen erklärte. Damit läßt sich kein Code einschleusen. Dann sagt "Core Security" noch: "Ach Menno, das sind aber wollja Sicherheitsbugs, menno wollja so." Das ist peinlich, vor allem weil sie das auch noch selbst veröffentlichen.
--- Ende Zitat ---
Nein, das ist ehrlich und professionell. Warum vermeidest Du, auf die vorgetragenen Sachargumente einzugehen?
--- Zitat ---Aber man sieht, daß - ähem - "Sicherheitsfirmen" bei OS X sogar aus nicht-ausnutzbaren Programmierfehlern einen Elefanten machen können.
--- Ende Zitat ---
Es wurde Dir bereits mehrmals gesagt, dass damit trotzdem ein Local-Denial-of-Service-Angriff möglich ist. Das ist eine ausnutzbare Sicherheitslücke. Warum lenkst Du davon ab?
--- Zitat ---Was bilden die sich überhaupt ein, Forderungen an Apple zu stellen, wann Apple was wie und warum fixt?
--- Ende Zitat ---
Weil sie und Millionen andere Kunden viel Geld für ein Produkt ausgegeben haben, das nicht wie versprochen funktioniert. Weil sie - je nach Land, in dem das Produkt verkauft wurde - ein gesetzliches Recht auf Reparatur des Defektes in angemessener Zeit haben. Weil abgespochene Vereinbarungen einseitig gebrochen wurden. Weil ein Gefährdungspotenzial bei der Nutzung des Produktes besteht, für das der Hersteller - je nach Land - haften muss. Weil sie kostenlos Apples Hausaufgaben machen und damit Apple viel Geld einspart.
--- Zitat ---Daß "Core Security" seine Fehler auf eigener Web-Seite selbst zugibt, erleichtert die Sache doch
--- Ende Zitat ---
Du machst das sehr geschickt, Core wegen eines Fehlers, der in der Diskussion überhaupt keine Rolle spielt, als inkompetent hinzustellen. Von den wirklichen Sachargumenten lenkst Du völlig ab.
--- Zitat ---Das kann man auch im Quellcode nachweisen. Dort gibt es nichts zu interpretieren. Quellcode ist eindeutig.
--- Ende Zitat ---
Du unterschlägst dabei, dass Core der Quellcode nicht vorliegt. Sie können nur durch sehr aufwendiges, sehr teures Reverse Engineering versuchen, der Ursache und den möglichen Folgen der Programmierfehler von Apple auf die Spur zu kommen. Dass hierbei Fehler passieren, ist fast zwangsläufig.
Es ist das gesetzlich verbriefte Recht des Kunden, einen Hersteller auf einen gefährlichen Produktmangel hinzuweisen und dessen Behebung zu verlangen. Es ist nicht die Aufgabe des Kunden, die Ingenieurarbeit des Herstellers zu machen und den Mangel auf seine Kosten so genau zu analysieren, dass dieser nur noch die Erkenntnisse integrieren muss, vor allem dann nicht, wenn es um ein Produkt geht, dessen technische Funktionsweise der Hersteller geheim zu halten versucht.
--- Zitat ---Ich kann "Security"-Firmen nicht leiden, wenn sie sich aufspielen und aus harmlosen Bugs
--- Ende Zitat ---
Es sind drei Sicherheitlücken, keine harmlosen Bugs. Aber Du bestätigst ja nun selbst, dass Du voreingenommen bist und an den Tatsachen wenig interessiert.
MacMark:
Ein Null-Pointer ist keine Sicherheitslücke. Den durch eine manipulierte Datendatei provozierten Absturz eines Anwendungsprogrammes als "Denial of Service" zu bezeichnen, ist grotesk, zumal es umittelbar danach wieder lauffähig ist.
Kennst Du die Fabel vom Hütejungen, der sich daran erfreute, die Schäfer zu ärgern, indem er immer rief "Ein Wolf!", obwohl kein Wolf kam? Nach einer Weile hörten sie nicht mehr auf ihn. Dummerweise kam dann tatsächlich ein Wolf …
Die Hütejungen von heute sind bestimmte "Sicherheits"-Firmen, die immer schreien "Eine Sicherheitslücke!" und das auch bei jedem wirklich ungefährlichem Bug. Offenbar geht es ihnen hauptsächlich um eigene Publicity und darum deklarieren sie zu oft harmlose Bugs als Sicherheitslücken.
Patrick:
Anscheinend ist hier der Sachverhalt immer noch nicht ganz klar.
Im ursprünglichen Bugreport ging es um insgesamt 4 Bugs, 1 davon im WikiServer, der ziemlich bald abgespalten wurde und hier weiter geführt und von Apple ja auch schon gepatcht wurde.
Die anderen 3 betreffen iCal, 2 davon führen durch falsche Parameter in .ics-Dateien zum Absturz von iCal, der dritte jedoch kann tatsächlich zum Einschleusen von fremden Code verwendet werden.
Apple stellt auch nie in Frage, daß der 3. Bug ein Sicherheitsproblem ist. Die ersten beiden "Null-Pointer"-Bugs (wobei es eigentlich nicht um Null-Pointer an sich geht, sondern darum, daß ein Null-Pointer so verwendet wird, als ob er er auf einen gültigen Speicherbereich zeigt, siehe zB hier) möchte Apple als normale Bugs und nicht als Sicherheitslücken sehen.
Bei weniger komplexen Systemen könnte man das vielleicht sogar durchlassen, aber bei einer Software, die Teil eines Betriebssystems ist, wohl eher nicht. Und wenn man Mark Dowd von der IBM X-Force glauben kann, dann kann man sehr wohl aus einer Null Pointer Dereferenzierung einen Exploit generieren, siehe die Meldung bei zdnet, die sich auf ein Whitepaper über einen eben solchen Exploit in Flash bezieht.
Also: es gab (und gibt immer noch) eine Schwachstelle in iCal, die definitiv zur Ausführung fremden Codes verwendet werden kann. Es gibt mind. noch 2 weitere Bugs, bei denen nicht ausgeschlossen werden kann, daß sie für einen Exploit verwendet werden könnten.
Somit scheint es für mich so zu sein, daß Apple ein weiteres Security-Update vor dem Erscheinen von 10.5.3 vermeiden möchte. Letzteres hätte schon längstens erscheinen müssen (ursprünglich war von März/April die Rede), wurde aber wohl wie so manches Update davor verschoben (mbs weiß vielleicht sogar warum, aber dummerweise gibt's da das dumme NDA ;) ).
Für mich ein klarer Fall von Publicity vor Security.
MacMark:
--- Zitat von: Patrick am Mai 26, 2008, 00:17:53 ---...Im ursprünglichen Bugreport ging es um insgesamt 4 Bugs, 1 davon im WikiServer, ...
Die anderen 3 betreffen iCal, 2 davon führen durch falsche Parameter in .ics-Dateien zum Absturz von iCal, der dritte jedoch kann tatsächlich zum Einschleusen von fremden Code verwendet werden.
...
Somit scheint es für mich so zu sein, daß Apple ein weiteres Security-Update vor dem Erscheinen von 10.5.3 vermeiden möchte. Letzteres hätte schon längstens erscheinen müssen (ursprünglich war von März/April die Rede), wurde aber wohl wie so manches Update davor verschoben ...
Für mich ein klarer Fall von Publicity vor Security.
--- Ende Zitat ---
Ich korrigiere mal die auf den ersten Blick offensichtlichen Fehler:
Core Security hatte "ursprünglich" keine Ahnung, daß der Wiki-Server betroffen ist. Sie dachten bis Anfang April, es wäre der iCal Server. Beweis von Core Security:
"2008-03-04: Vendor provides information concerning CVE-2008-1000 and indicates that the bug is in the Wiki server and not the iCal Server."
Wie soll denn im März oder April ein Fix ausgeliefert werden können für Bugs, über die sie sich noch Mitte April streiten bzw. die Bugs untersuchen. Beweis von Core Security:
"2008-04-17: Vendor states .... The root cause of the crash is a NULL pointer de-reference and not an integer overflow."
"2008-04-17: Core confirms that the two first bugs can be considered crasher only due to null-pointer dereference. Upon further research it is confirmed that integer overflows are detected and do not cause the actual crashes."
Natürlich ist hier Publicity wichtiger - und zwar für Core Security, die einen Patch "fordern", bevor betroffene Fehler überhaupt voll analysiert sind.
Noch eine Frage: Mußtest Du wirklich bei Wikipedia nachschauen, was ein Nullpointer ist? Die Beschreibung ist dermaßen hölzern ...
Noch ein Nachtrag: Die iCal.app ist kein "Teil des Betriebssystems" und darum sind Nullpointer-Probleme darin dermaßen Banane für die Sicherheit von OS X wie der berühmte Sack Reis in China.
Patrick:
--- Zitat von: MacMark am Mai 26, 2008, 14:35:27 ---Ich korrigiere mal die auf den ersten Blick offensichtlichen Fehler:
--- Ende Zitat ---
Ich auch: der iCal- später Wiki-Server-Bug hat mit den von Dir die ganze Zeit angesprochenen Bugs (Nullpointer) nichts, aber auch gar nichts zu tun.
--- Zitat ---2008-02-18: Vendor replies that the iCal Server (CVE-2008-1000) vulnerability is tracked for a fix in an upcoming update and the vulnerabilities in the iCal client application will be fixed in an update following the early March software update.
--- Ende Zitat ---
Daraufhin spaltet Core den späteren WikiServer-Bug am 19.02. ab. Am 18.03. veröffentlicht Apple den Patch und Core den Report dazu:
--- Zitat ---2008-03-18: APPLE-SA-2008-0318 software update released.
2008-03-18: CORE-2008-0123 is published.
--- Ende Zitat ---
Ach ja, Apple informierte Core übrigens am 04.03. und nicht am 03.04. Man sollte mit der Schreibweise des Datums schon vertraut sein...
Somit ist das Thema WikiServer-Bug erledigt. Hast Du sogar selbst darauf hingewiesen.
Somit ist der Rest wiederum klar, oder? Du lässt natürlich die ganze Zeit den 3. Bug in iCal völlig außer acht, der unbestreitbar eine Sicherheitslücke darstellt. Darum geht es doch eigentlich. Die anderen sind Nebenschauplätze und wie man sieht hervorragend für Diskussionen über deren Schädlichkeit geeignet. Aber trotzdem gilt für alle 3 Bugs, daß Apple den Termin für den Bugfix seit Ende März vor sich hinschiebt. Lassen wir mal die beiden Nullpointer-Bugs einfach weg, die Diskussion führt hier nicht weiter.
Was ist mit dem 3. Bug?
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln