Forum

Re: Apple und die Sicherheit
Antwort #60: Mai 29, 2008, 12:45:30
Sooooooooo: Obwohl Apple 10.5.3 herausgebracht hat, gibt es sogar trotzdem ein Security-Update:

Kann man diese Updates denn unter 10.5.2 überhaupt installieren? Ich hatte das so verstanden, dass die für 10.4.11 sind.

Nö, anscheinend nicht. Jedenfalls meint das Security Update zu meinem MBP mit 10.5.2 Folgendes:
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)

MacMark

  • Diplom Informatiker (Uni), Objective-C Entwickler
Re: Apple und die Sicherheit
Antwort #61: Mai 29, 2008, 12:51:34
... Es wurde bisher auch nie gesagt, daß es darum geht, ein Sicherheitsupdate zu vermeiden, sondern so lange mit dem Patch zu warten, bis 10.5.3 veröffentlicht wird. ...

Echt, nie?
<Hust>

Was ist das hier?
... So kann man zum Beispiel das Sicherheitsupdate im 10.5.3-Update verstecken. ...

<Hust>
_______
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars
Re: Apple und die Sicherheit
Antwort #62: Mai 29, 2008, 12:55:11
Eben. Und genau das ist ja passiert. Ein Leo-User kriegt kein Security Update angezeigt.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)

MacMark

  • Diplom Informatiker (Uni), Objective-C Entwickler
Re: Apple und die Sicherheit
Antwort #63: Mai 29, 2008, 13:01:10
Eben. Und genau das ist ja passiert. Ein Leo-User kriegt kein Security Update angezeigt.

Erklär mal, warum sie es wohl separat zum Download anbieten und warum es sechs andere Bugfixes seit dem Bugreport gab, darunter mindestens eines, was einen Teil gefixt hat.
_______
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars
Re: Apple und die Sicherheit
Antwort #64: Mai 29, 2008, 13:10:28
Erklär mal, warum sie es wohl separat zum Download anbieten...

Ja, erkläre das mal. Das verstehe ich nämlich nicht. Wenn es doch in 10.5.3 drin ist, warum dann noch ein Security Update für 10.5.2 zeitgleich herausbringen?
Laut dem Test von warlord lässt sich das Update auch nicht auf 10.5.2 installieren. Ist das evtl. doch nur für 10.4.11 (und folgende 10.4.x)?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Apple und die Sicherheit
Antwort #65: Mai 29, 2008, 13:12:42
Eben. Und genau das ist ja passiert. Ein Leo-User kriegt kein Security Update angezeigt.

Erklär mal, warum sie es wohl separat zum Download anbieten und warum es sechs andere Bugfixes seit dem Bugreport gab, darunter mindestens eines, was einen Teil gefixt hat.
Zum einen wird es separat zum Download nur für Tiger-User angeboten, für Leo-User funktioniert das anscheinend nämlich nicht (siehe oben). Zum anderen wird der Grossteil der Nutzer Updates via Software Update einspielen. Und genau auf diese Personengruppe zielt doch das Versteckspiel ab. Und dort fand es eben tatsächlich statt, genau wie von mbs vorausgesagt.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)

MacMark

  • Diplom Informatiker (Uni), Objective-C Entwickler
Re: Apple und die Sicherheit
Antwort #66: Mai 29, 2008, 17:01:06
… Zum anderen wird der Grossteil der Nutzer Updates via Software Update einspielen. Und genau auf diese Personengruppe zielt doch das Versteckspiel ab. Und dort fand es eben tatsächlich statt, genau wie von mbs vorausgesagt.
Super Verschwörungstheorie. Warum geben sie die Bugfixes dann nicht als 10.4.12 heraus, sondern explizit als Security-Update für 10.4.11?
_______
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars
Re: Apple und die Sicherheit
Antwort #67: Mai 29, 2008, 17:12:50
Warum geben sie die Bugfixes dann nicht als 10.4.12 heraus, sondern explizit als Security-Update für 10.4.11?

Weil Apple weder noch autistischer ist, als mbs beschreibt, noch soo tadellos, wie MacMark meint, sondern die "Wahrheit" irgendwo in der Mitte liegt?
Re: Apple und die Sicherheit
Antwort #68: Mai 29, 2008, 17:16:08
… Zum anderen wird der Grossteil der Nutzer Updates via Software Update einspielen. Und genau auf diese Personengruppe zielt doch das Versteckspiel ab. Und dort fand es eben tatsächlich statt, genau wie von mbs vorausgesagt.
Super Verschwörungstheorie. Warum geben sie die Bugfixes dann nicht als 10.4.12 heraus, sondern explizit als Security-Update für 10.4.11?

Eventuell weil die nicht mehr aktuellen Major-Releases des OS auch ganz offiziell nicht mehr weiter entwickelt werden?

Stelle ich mich im Wald hinter einen Baum, dann werde ich nicht sonderlich auffallen. Stelle ich mich aber als Baum verkleidet in die Wüste, wäre das wohl nicht mehr sonderlich unauffällig.
« Letzte Änderung: Mai 29, 2008, 17:25:46 von warlord »
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)

MacMark

  • Diplom Informatiker (Uni), Objective-C Entwickler
Re: Apple und die Sicherheit
Antwort #69: Mai 29, 2008, 20:38:49
… nicht mehr aktuellen Major-Releases des OS auch ganz offiziell nicht mehr weiter entwickelt werden? …

Das ist nicht richtig, denn 10.4.11 kam mehrere Monate _nach_ 10.5 heraus.
_______
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars
Re: Apple und die Sicherheit
Antwort #70: Mai 29, 2008, 20:58:14
19 Tage, würd ich meinen, nicht Monate. Dass in der Übergangszeit jeweils parallel an zwei Systemen gearbeitet wird und das Rennen je nach dem mal zugunsten des ersten Releases des neuen und mal zugunsten des letzten Releases des alten OS ausgehen kann, ist klar. Am Grundsatz, dass jeweils nur das aktuelle Major-Release weiter entwickelt wird, ändert diese Überlappung nichts. Aber das wird Dir durchaus auch klar sein.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)

Patrick

  • 4 - 8 - 15 - 16 - 23 - 42
Re: Apple und die Sicherheit
Antwort #71: Mai 30, 2008, 01:48:19
Echt, nie?

Argh, Du bist ja schlimmer als Wormtongue. Das SecurityUpdate ist natürlich im 10.5.3 enthalten. Zuerst wird das OS-Update veröffentlicht und kurz danach im Schatten dieses Ereignisses noch das SU hinterher, für ältere Systeme. Warum es sich bei Warlord nicht auf 10.5.2 installieren lässt, kann ich auch nicht sagen, vielleicht hat er einen falschen Build (kann als Entwickler ja mal passieren ;) ). Laut Doku ist es aber für genau diese Systeme gedacht, von 10.4.11 bis 10.5.2.

Wenn ich als Normaluser mir die Beschreibung des 10.5.3-Updates anschaue, finde ich keinerlei Hinweise auf ein Sicherheitsupdate. Selbst bei Applikationen wie zB iCal steht nichts davon drin. Die Doku des Security Updates ist ja auch noch sinnigerweise mit "About the security content of Security Update 2008-003 / Mac OS X 10.5.3" überschrieben, aber die findet ein Normaluser ja gar nicht.

So sieht es aus, als ob es ein normales Update von 10.5 gibt und ein Security Update für ältere Systeme. Ich sehe darin zumindest eine Verschleierungstaktik.

Ausserdem bedeutet "verstecken" ja, daß es tatsächlich etwas gibt, was man zu verbergen versucht. IMHO hat Apple genau das mit 10.5.3 (wieder) gemacht.

Ach ja, zu Deinem ach so harmlosen NullPointer-Bug hat Apple auch noch was zu sagen:

Zitat
Kernel
 

CVE-ID: CVE-2007-6359

Available for: Mac OS X v10.5 through v10.5.2, Mac OS X Server v10.5 through v10.5.2

Impact: A local user may be able to cause an unexpected system shutdown

Description: A null pointer dereference exists in the kernel's handling of code signatures in the cs_validate_page function. This may allow a local user to cause an unexpected system shutdown. This update addresses the issue by performing additional validation of code signatures. This issue does not affect systems prior to Mac OS X v10.5.

Aber vermutlich wirst Du Dich wieder damit herausreden, daß Du ja nur einen Nullpointer innerhalb einer Anwendung gemeint hast, im Kernel ist das natürlich was ganz anderes...
_______
Dr. Jones: Well I can assure you, Detective Britten, that this is not a dream. What?
Michael: That's exactly what the other shrink said. (Awake 1x01)

MacMark

  • Diplom Informatiker (Uni), Objective-C Entwickler
Re: Apple und die Sicherheit
Antwort #72: Mai 30, 2008, 07:27:54
... Nullpointer innerhalb einer Anwendung gemeint hast, im Kernel ist das natürlich was ganz anderes ...

Du verwechselst die Bugs. Den Du da anführst ist ein Null-Pointer im Kernel und nicht die beiden Null-Pointer in iCal.app, die auf die Meldung von Core Security zurückgehen.

Ein Null-Pointer im Kernel kann den ganzen Rechner stoppen. Ein Null-Pointer in iCal läßt im schlimmsten Fall die eine Instanz von iCal.app abschmieren.
« Letzte Änderung: Mai 30, 2008, 07:32:13 von MacMark »
_______
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars
Re: Apple und die Sicherheit
Antwort #74: Juni 20, 2008, 10:16:05
Uiuiui, eine derbe Lücke zur Ausweitung der Rechte, wenn ich das richtig verstehe.

Komisch finde ich folgenden Textteil aus dem ersten Link:
Zitat
Derweil gibt es schon mehrere Vorschläge wie das Problem zu lösen sei. Der Exploit funktioniert nicht, wenn unter Mac OS X 10.5 "Systemeinstellungen/Sharing/" die Option "Entfernte Verwaltung" aktiviert ist – was standardmäßig nicht der Fall ist. Ähnliches soll gelten, wenn unter Mac OS X 10.4 der Apple Remote Desktop Client installiert und aktiviert ist.

Müsste es nicht heissen: "Der Exploit funktioniert nur nicht, ...
D.h. das Problem existiert nur dann, wenn man es vorher explizit erlaubt hat, das der Rechner über ARD gesteuert werden kann. D.h. viele sind zum Glück nicht betroffen. Trotzdem eine gefährliche und unschöne Sache. Schnelle Behebung ist angesagt.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller