Apfelinsel
Mac-Software => Thema gestartet von: Thyrfing am April 22, 2007, 20:50:31
-
Angeblich ist es gelungen, ein MBP, ausgerüstet mit allen Aktualisierungen, zu knacken (http://www.heise.de/newsticker/meldung/88621).
Es soll eine Lücke in Safari geben, die dies ermöglicht.
-
... ausgerüstet mit allen Aktualisierungen...
Ist zufällig Bekannt ob auch das ja ziemlich neue Security Update 2007-004 (Universal) installiert war?
-
Angeblich ja.
-
Ich bin da mal gespannt, wie lange es brauchen wird, bis Apple ein Update bringen wird…
-
Angeblich (http://www.matasano.com/log/806/hot-off-the-matasano-sms-queue-cansec-macbook-challenge-won/) handelt es sich um eine Java-Lücke und so ist die vorübergehende Lösung Java zu deaktivieren (via Daring Fireball (http://daringfireball.net/).
-
Angeblich (http://www.matasano.com/log/806/hot-off-the-matasano-sms-queue-cansec-macbook-challenge-won/) handelt es sich um eine Java-Lücke und so ist die vorübergehende Lösung Java zu deaktivieren (via Daring Fireball (http://daringfireball.net/).
Gibt es hier tatsächlich jemanden der nun Java deaktiviert, weil es möglich sein könnte darüber den Rechner zu hacken?
Nee, nicht wirklich. Oder?
-
:)
Ich habe Java schon immer deaktiviert, weil das meine Macs schon immer ( seit 7.5) verlangsamte und ich nie eine sinnvolle Anwendung davon benötigte.
-
Hatte ich auch jahrelang so gehalten. Bis ich regelmässiger Nutzer einer Site geworden bin, die leider Java benötigt. :(
Aber ich sollte mir vielleicht doch mal abgewöhnen, aus Gewohnheit immer mit Safari zu surfen. Ist ja nicht der erste gravierendere Sicherheits-Vorfall mit dem Teil. :-\
Wobei...wenns ja Java ist, besteht das Risiko womöglich mit den anderen Browsern genau so... :-\
-
Gut.
Ich habe Java nun auch deaktiviert.
Mal sehen was sich ändert. ;)
-
Wobei...wenns ja Java ist, besteht das Risiko womöglich mit den anderen Browsern genau so... :-\
Auf jeden Fall auch beim Firefox.
"The vulnerability affects Firefox as well as Safari. More details, momentarily."
Quelle Matasano (http://www.matasano.com/log/806/hot-off-the-matasano-sms-queue-cansec-macbook-challenge-won/)
-
Ja, in vielen Berichten könnte man jeweils den Eindruck gewinnen, es gäbe auf dem Mac nur einen Browser. Bei Matasano sinds nun immerhin zwei. Löblich. Löblich. :P
-
Nun mal eine Definitonsfrage:
Ist eine Java-Lücke denn eine Mac OS X-Lücke?
Und:
Geht der Trick auch unter Windows, vielleicht leicht abgewandelt?
-
Kommt darauf an, was das für eine Lücke genau ist.
Ob es nun in der Java-Implementierung von Apple unter OS X eine Lücke gibt oder in Java prinzipiell.
Ohne nähere Infos ist das alles wieder einmal sehr diffuses Stochern im Nebel.
-
Ist eine Java-Lüke denn eine Mac OS X-Lüke?
Ja, weil Java mit OS X mitgeliefert und standardmäßig installiert wird.
Hach, bin ich unbarmherzig. ::)
-
Ne, eigentlich doch nicht. Warum sollte es zum "Betriebssystem" gehören? Das läuft auch ohne Safari. Deshalb ein klares NEIN von mir. Es ist ein Programm, das mitgeliefert wird. Mehr nicht.
Hach, ich bin noch viel unbarmherziger. ;D
-
Naja, mir ist es im Prinzip völlig schnuppe, ob man die Lücke OS X oder nicht zurechnen kann. Ich finde es viel wichtiger, ob es eine solche Lücke gibt, unter welchen Bedingungen sie ausgenutzt werden kann und was möglich ist. Hat da jemand schon eine tiefergehende Beschreibung gefunden?
Allenfalls die Unterscheidung "Fehler in Java-Implementierung" oder "Fehler in Java-Konzept" ist für mich noch interessant, damit man sehen kann, wer den Fehler beheben muss und ob nur OS X oder prinzipiell alle Systeme betroffen sind.
-
Wie matasano (http://www.matasano.com/log/812/breaking-macbook-vuln-in-quicktime-affects-win32-apple-code/) inzwischen bekannt gegeben hat, ist es die Kombination aus Java und Apples QuickTime-Unterstützung für Java, die die Lücke möglich macht.
Es ist daher zu vermuten, dass alle Browser auf allen Betriebssystemen, die Java und QuickTime installiert haben, betroffen sind. Der Fehler muss in QuickTime behoben werden.
-
die Kombination aus Java und Apples QuickTime-Unterstützung für Java
Ich verstehe den Satz "Dino’s finding targets Java handling in QuickTime." eher so, dass man innerhalb von Quicktime Java benutzen/ansprechen kann. Also nicht die Komponenten QT for Java, mit der man innerhalb von Java Quicktime ansprechen kann.
Hach ich liebe ( :( ) diese Ratespielchen. Soll er doch veröffentlichen.
"Apple’s vulnerable code ships by default on MacOSX (obviously) and is extremely popular on Windows, where this code introduces a third-party vulnerability. (Irony!)"
Womit Florians Frage geklärt wäre. Auch Win ist betroffen.
-
Womit Florians Frage geklärt wäre. Auch Win ist betroffen.
Nun ja, anscheinend ja nicht Win. QT for Win. Diesen kleinen Unterschied muss man fairerweise schon machen. ;)