siehe auch

Apple halt, außer KlickBunti nix gewesen.

Hauptsache Updates für iPhoto, iDVD und iTunes. Und das iPhone. Aber Sicherheit, die braucht man nicht, man geht das ganze Thema halbherzig an und schaut mal ob konkret was passiert.

Ich wünsche Apple so einen dicken Absturz an der Stelle, dass sie sofort das nächste iPhone und iPod Update aussetzen müssen und sich erst mal um die Basics kümmern.

Garp2000: Wenn Apple für dich nichts als Klicki-Bunti ist, dann sei doch mit deinem Linux zufrieden und lass deinen Senf bei heise ab.

Garp2000: Du bist hier im falschen Forum! Für Beiträge dieses intellektuell niedrigen Niveaus empfehle ich Dir: http://www.heise.de

Gerhard Uhlhorn:

Na, hast es nun endlich aufgegeben und eingesehen, dass es quasi sinnlos ist, überzeugende und sachliche Diskussionen in den Heise-Foren zu führen?
Bin in letzter Zeit erstaunt, dich öfters dort anzutreffen als hier...

Was genau hat Apple jetzt eigentlich mehrere Wochen lang getestet (wir erinnern uns: Apple war der letzte größere OS-Hersteller, der einen Patch für die aktuelle DNS-Sicherheitslücke zur Verfügung stellte), und warum hat keiner vom Test-Team gemerkt, daß der Patch auf Clients schlicht nicht implementiert ist?

Apple: Setzen, 6.

Es ist und bleibt eine frechheit wie Apple mit dem Thema sicherheit umgeht.
Das Apple am falschen ende ansetzt, da hat garp2000 gar nicht mal so unrecht.

Ich wünschte mir Bugfixes im wochen Rythmus, wenn ein Fix fertig ist, verteilen und nicht erst drei Monate warten bis 10.5.x ansteht.
Ich bin derzeit sehr von apple entäuscht.

Wirklich schwach von Apple!

Die Leute vom CCC sagen nicht umsonst "securing by obscuring", wenn es um das Thema Apple geht...

Apple sollte sich wirklich nicht nur zurücklehnen nach dem Motte OSX ist sicher, da passiert schon nix.

Ich erwarte da wirklich mehr!!
Und der Imageschaden für Apple wird nicht gerade klein sein, wenn es OSX dann mal wirklich trifft!!

So reißerisch sein Kommentar auch zuerst klingen mag, muss ich Garp2000 vom inhaltlichen komplett zustimmen.

Der Mann hat leider recht.

Apple nähert sich de facto dem „Patch Quartal“ für relevante Sicherheitslücken. Das geht so einfach nicht. Man kann nicht seine gesamten Kapazitäten in die Entwicklung von Lifestylegehäusen stecken und dabei Wochenlang Sicherheitsscheunentore offen stehen lassen, die selbst Computerb!ld vom Dach pfeift. Weil der Patch dann halt in 10.5.5 drin sein soll, das aber noch nicht kommen kann, weil der Videplayer ein neues Icon hat, und das ist noch bis Mittwoch in der Grafikabteilung zum Ecken-rundlutschen.

Jetzt zusätzlich zur bereits viel zu langen Wartezeit auch noch den Client zu vergessen ist… Wahnsinn.

ACHTUNG: Heise Redakteure haben keine Ahnung von OSX! http://dermattin.com/stuff/heise_Redakteur_Schmidt.mp3 Bitte andere Quellen nutzen.

Seltsam oder? Da tut Apple angeblich so wenig und es passiert (seit 7 Jahren) einfach nix.

Der war gut. Doch was ist mit dem Lutscher, der bis Leopard die oberen Bildschirmecken runggelutscht hat? Bekam ihm die Transparenz nicht, oder wollte er auch wieder die unteren Ecken rundlutschen und wurde dann gefeuert?

So langsam nähern wir uns verdächtig nahe dem Punkt, an dem man die Sicherheitsleute von Apple zur Nachhilfe sogar nach Redmond schicken könnte...
Auf Lorbeeren ruht es sich denkbar schlecht, Herr Jobs!

Das stimmt nicht. Es gibt genung RootKits, Exploits etc.
Kein mensch redt über Viren. Ich finde einen Rootkit um einiges schlimmer als einen Virus.

Welche davon waren es, die tatsächlich eingesetzt werden konnten, ohne konstruierte theoretische Situationen schaffen zu müssen? Passiert ist bisher null. Überhaupt kein Vergleich zu der Situation unter Windows.

mattin:

Die Situation unter Windows kann aber schneller kommen als Dir lieb sein kann. Dann nämlich, wenn Apple sich weiterhin immer so schön Zeit lässt zu patchen und vor allem dann, wenn dieses "Laissez-faire" in Kombination mit einer genügend großen Nutzer-Basis geschieht, die in Treu und Glauben dem Gedanken verhaftet ist, ihr Betriebssystem sei per se sicher und bedürfe null Eigeninitiative und null Verhaltensanpassung oder -änderung ihrer selbst. Genau dann fallen solche Exploits in freier Wildbahn dann auf äußerst fruchtbaren Boden und kommen meistens für die Betroffenen total überraschend.
Wenn Apple weiterhin so lange Wartezeiten einbaut, bevor es bekannte Patches an die Nutzer weitergibt, stehen für Malware-bastler, die sich die Apple-Plattform mal vornehmen, quasi rosige Zeiten bevor. Apple operiert hier nahe an der überhaupt erträglichen Schmerzgrenze, was man einem Nutzer an Wartezeiten bzgl. solcher Patches zumuten sollte. Das ist ein äußerst riskantes Spiel, und wenn Apple damit einmal zu spät dran sein sollte, und das ist dann auch noch gepaart mit einer schönen Portion Unbedarftheit und falschem Sicherheitsempfinden seitens der Apple-Nutzer, dann hat Apple ein gehöriges Image-Problem bzgl. der Sicherheit seines Betriebssystems. Microsoft sollte ein warnendes Beispiel sein, wie lange sowas nachwirken kann bzw. wie lange und wieviel Kraft man aufwenden muss, um so ein einmal erworbenes schlechtes Image wieder aufzuarbeiten und Vertrauen zurückzugewinnen. Ob es das wert ist, mit diesem Feuer zu spielen und evtl. bei diesem Spiel irgendwann zu verlieren bzw. den Kürzeren zu ziehen?

sierkb,

na das ist doch meine Frage. Wie sehr vernachlässigt Apple wirklich die Sicherheit, wenn seit 7 Jahren keine wirklich brauchbare Sicherheitslücke aufgetaucht ist, die wirklich ausgenutzt werden konnte?Mit kann und könnte Spielchen kann man alles behaupten. Fakt ist: Die Wartezeiten scheinen kein wichtiges Kriterium für Sicherheit zu sein, wie man an der realen Lage sehen kann.Das hört man seit 7 Jahren. XP, von der hier zum Vorbild ernannten Firma Microsoft, gibt es seit genau der gleichen Zeit und auf dieser Plattform sind die Probleme explodiert. Die Behauptung, dass 30 Millionen gut betuchter Mac User bisher von bösen Buben übersehen wurden, hat einen genau so langen Bart.Microsoft hat kein Imageproblem, sie haben ein Sicherheitsproblem, selbstverschuldet durch unsicherere Software.

Relative Sicherheit ergibt sich nicht durch die Parameter eines Kriteriums, sie ergibt sich durch das Zusammenspiel von mehreren Kriterien, und hier scheint Apple bisher wenig falsch gemacht zu haben.

Und bevor mir das unterstellt wird: Ich bin sehr dafür, dass Apple hier schnell handelt und es ist keine besondere Glanzleistung von Apple, aber dieses Rumgeblöcke von einigen Sicherheitsexperten hier ist völlig am Thema vorbei.

mattin:

Bzgl. der seit 7 Jahren wirklich brauchbaren Sicherheitslücken für MacOSX scheinst Du 2 Dinge erfolgreich auszublenden:

Erstens IST dieses DNS-Problem gerade eine solche, ÄUßERST brauchbare Sicherheitslücke. Deswegen wird ja auch so ein Heiopei weltweit drum gemacht. Weil sie ÄUßERST effektiv und gefährlich ist und schon Webseiten, die einen solchen Exploit z.B. via Phishing verbreiten, gesichtet worden sind.

Und zweitens: gehen die Beschwichtiger anscheinend in größter Regelmäßigkeit davon aus, dass der Mac mit seinem Betriebssystem immer noch irgendwo in einer Nische dümpelt und deswegen kaum Beachtung benötigt. Diese Nische hat der Mac aber schon seit längerem verlassen, und er verzeichnet ständig steigende Marktanteile -- und zwar in signifikanten Zahlen.
Du bist nicht der Meinung, dass das Malware-Schreibern nicht auch langsam bewusst ist und sie es angesichts des steigenden Marktanteils attraktiv finden könnten, hier im Mac-Teich mal langsam zu fischen? Bisher war's einfach nicht attraktiv genug. Doch mit steigender Verbreitung steigt auch die Attraktivität, größtmöglichen Flurschaden mit speziell ausgerichteter Malware anrichten zu können. Ich denke, die Verbreitung des Macs hat mittlerweile durchaus Zahlen erreicht, die für Malware-Schreiber ein attraktives Ziel ergeben könnten.

Aber scheinbar keine, die bisher besonders viel Schaden anrichtet hat.Nein, bin ich nicht. Hacker gehen dorthin, wo man am einfachsten etwas erreichen kann. Wie schon erwähnt, gibt es zig Millionen Mac User, die statistisch alle mehr Geld haben als das Heer an PC Usern und das schon zu Zeiten, als es Apple Marktanteilsmässig sehr schlecht ging. Die installierte Basis ist immer grösser als der momentane Marktanteil, der durch aktuelle Verkaufszahlen errechnet wird. Ich glaube nicht, dass Malware-Schreiber jetzt plötzlich aufwachen und vorher geschlafen haben. Zu den zig Millionen sind seit OSX nur relativ gesehen wenige hinzugekommen. Wo soll da jetzt plötzlich der Anreiz liegen? Scheinbar tangiert ja auch eine "ÄUßERST brauchbare Sicherheitslücke" kaum jemanden.

mattin:

Sei froh! Denn der potentielle Schaden könnte beträchtlich sein. Und verantwortungsbewusste Hersteller haben diesbezüglich auch schnell und umfassend reagiert. Bis auf Apple.

Zum Beispiel darin, dass Malware-Schreiber merken könnten, dass sich a) Apple leider überdurchschnittlich Zeit lässt mit dem Schließen von Sicherheitslücken (gemessen an anderen Herstellern bezüglich gleicher Lücken und gleicher Patches)
und b) die Mac-Community zusammensetzt aus einem kunterbunten Völkchen, welches leider einen großen Teil unbedarfter Benutzer beherbergt, die per se davon ausgehen, dass nur weil da ein Apfelsymbol drauf ist auf ihrem Rechner, dieser per se sicherer ist als andere und genau diese Nutzer zudem dann auch noch gleich mehrere Sicherheitsschilde gesenkt haben und im Grunde sich auf einem trügerischen Sicherheitsniveau (und leider auch der betreffenden Einstellung) befinden, wie eine Großzahl unbedarfter und naiver Windows-Nutzer seit mehreren Jahren. Dass ich mit dieser Annahme ziemlich richtig liegen könnte, das zeigt der Gegenwind, den ich hier von so manchem bekomme, weil ich mich getraue, das anscheinend Unaussprechliche einfach auszusprechen. Der Mac WIRD irgendwann ein Sicherheits-Problem bekommen, solange es eine breite Masse unbedarfter Benutzer gibt, die von ihrem Verhalten und der fehlenden Einsicht her, genau eine solche Situation fördern bzw. deren Entstehen begünstigen. Je weniger eine solche unbedarfte und sich in falscher Sicherheit wiegende Nutzer-Basis überhaupt vorhanden ist und je mehr man aus den Fehlern, die auf der Windows-Plattform gemacht worden sind (und teilweise immer noch gemacht werden) lernt und ihr Verhalten deswegen anders gestaltet, umso größer die Wahrscheinlichkeit, dass die Mac-Plattform eine relativ sichere Burg bleibt.

Ja, könnte, potentiell Auch wenn ich dir in beiden Punkten widersprechen würde (Apple lässt sich weder -ständig- Zeit mit Patches, noch sollte es nach dem immer wieder auftretenden Geschrei viele User geben, die denken, OSX sei sicher (ich bezweifle, dass es diese User jemals gegeben hat)), macht das gar nix und ich kann dir trotzdem zustimmen: Ob jetzt durch einen Wegruf oder durch eine nicht so grosse Problematik, es dient so oder so der Sicherheit von OSX bzw seinen Nutzern.

mattin:

Soll ich Dir erst die offiziellen Einschätzungen und Stellungnahmen der offiziellen Stellen zu diesem konkreten Problem nennen, oder findest Du sie auch selber? Kein Grund jedenfalls, das Problem zu verniedlichen.

Doch! Apple braucht bisher so gut wie *immer* länger bei Sicherheitslücken bzw. Patches, die die Darwin-Basis, also allgemein zugängliche Open Source-Basis, betreffen. Apple ist da bisher fast ausnahmslos Schlusslicht, obwohl allen denjenigen Herstellern bzw. Distributoren die Sicherheits-Informationen gleich vorliegen und die öffentlich gemachten Patches der Open-Source-Community auf gleiche Weise allen Herstellern und Distributoren vorliegen. Diverse Linux-Distributoren wie auch Sun Microsoystems für ihr Solaris/openSolaris reagieren durchschnittlich zügiger, ihre gepatchte Software an die Benutzer und Kunden weiterzugeben, damit Sicherheits-Lücken nr möglichst kurz offen sind. Bei Apple dauert das eigenartigerweise immer länger, obwohl sich's um dieselbe Software und dieselben Patches handelt, und keiner weiß warum, wieso, weshalb. Selbst auf Nachfragen von einschlägigen Sicherheits-Centern und -Organisationen (wie jetzt bei dem höchstwichtigen DNS-Patch) gibt's seitens Apple meistens nur Schweigen und keine Aufklärung oder gar eine Erklärung.

mattin:






Reichen Dir diese URLs, um einzusehen, dass in den letzten Tagen bereits Attacken in freier Wildbahn angelaufen sind bzw. diverse Server auf ihr Gelingen hin von diversen Schad-Programmierern abgetestet worden sind, sodass DRINGENDER Handlungsbedarf bestand bzw. teilweise immer noch besteht?

Mattim,

sorry, du hast schlicht weg keine ahnung, bitte erkundige dich besser bevor du dinge schreibst die du nur vermutes,es gibt malware die genuntzt wird/wurde.

Nur ein kleines beipiele:
http://www.viruslist.com/en/analysis?pubid=191968025

Wie ich bereits sagte, es gibt genung Rootkits auch für OSX, die sogar genutzt werden. Nun sag mir bitte woher du wissen willst, das bei dir keine Rootskit im Background still und heimlichen läuft, mit einem ps aux wirst du nichts sehen, ich bezweifel sehr stark das du einen Rootkit Detector hast.

Wie sierkb es sagte, auch du wiegst dich in falscher sicherheit.

PS: Diese seite sei dir ans herzen gelegt http://secunia.com/product/96/

mattin Sorry, aber Du hast ja wirklich keinen Peil. Das weltweite DNS-Problem als "Hach, da kann ja scheinbar nix passieren" als kein oder fast kein Problem hinstellen, ist ja wirklich lachhaft. Mach Dich doch endlich mal schlau.

Und lies mal: http://daringfireball.net/linked/2008/08/04/tidbits