Xara-Schwächen in Mac OS X und iOS: Forscher zeigen gravierende Lücke in Apple-Systemen

Forschern zufolge weisen Apples Betriebssysteme OS X und iOS schwere Sicherheitslücken auf. Apple weiß angeblich seit sechs Monaten davon, doch die Lücken bestehen weiter. Die Forscher brachten sogar verseuchte Apps im App Store unter.




Kennt ihr das schon?

ja, es gibt schon mehrere Threads darüber.... selbst eine News...

ah wo?

MTN Forum (18.06.2015): Forscher warnen vor kritischen Sicherheitslücken in OS X und iOS

MTN Forum (17.06.2015): Schlüsselbund geknackt...

MTN News (17.06.2015): Gefahr für Kennwörter im Schlüsselbund

mmmh, arbeiten die daran? auch an rootpipe in 10.7, 10.8, 10.9 und 10.10?

das kommt davon, wenn man jedes Jahr nen neues OS X raus haut ...

1. arbeiten sie schon seit Meldung dran
2. ist das wie Du selbst durch Verwendung der Mehrzahl erkennen lässt eine Vielzahl verschiedener Möglichkeiten, die teilweise auf HTML5 oder anderer Nicht-Apple-Technologien beruhen oder sogar gewollt sind.
Vielleicht einfach mal die anderen Artikel lesen und auch die weiterführenden Links, dann ist Dir auch nicht so langweilig, dass Du alle Meldungen der Woche noch mal melden musst.

Gänzlich falscher Zungenschlag, den Du da reinbringst und auf unzulässige Weise verharmlost und vom Eigentlichen ablenkt. Weder HTML5 noch irgendwelche Nicht-Apple-Technologien Dritter sind daran schuld, dass Apple hier in seinen beiden Betriebssystem nebst AppStore-Konzept grundsätzliche systemische Fehler gemacht hat.

"Broken by design" trifft's wohl eher. Und wirklich gewollt kann dieses "Broken by design" in dieser Hinsicht von Apple sicher nicht sein. Es sei denn, Du würdest Apple völlige Unfähigkeit und geistige Umnachtung attestieren, wenn sie diesen tiefen systemischen Fehler ihrer beiden Betriebssysteme tatsächlich gewollt angelegt hätten und sich der Risiken und Tragweite dessen dabei auch noch voll bewusst bewusst gewesen wären. Oder sie haben die Risiken auf grob fahrlässige Weise billigend in Kauf genommen. Nehmen wir also mal zu Apple Gunsten an, dass sie sich der Tragweite dieser systemischen Entscheidung und den damit verbundenen Risiken nicht voll bewusst gewesen sind, als sie das so angelegt haben. Apples beider Betriebssysteme und das AppStore-Prüfkonzept müssen hierzu also tiefgreifende und grundlegende Änderungen bekommen, weil da etwas ganz grundlegend falsch angelegt ist offenbar, sodass sowas wie jetzt aufgedeckt, möglich ist und durchgeführt werden kann.

Schon die rootpipe-Lücke hat aufgezeigt, dass in Apples Betriebssystem etwas ganz grundlegend falsch angelegt ist und dass hier tiefgreifende Änderungen notwendig sind, die dauerhaft halt eben nicht mal eben so nebenbei gelöst werden können, sondern dass da einige Systemkomponenten angefasst und geändert werden müssen, um's wirklich an der Wurzel zu packen und zu ändern. "Broken by design" eben. Machbar issses, aber es erfordert halt Aufwand und ist umfassend und kostet Mühe, aber es wäre verantwortungsvoll. Und genau Letzteres scheut Apple offenbar, so wie es bisher aussieht. Was nicht das erste Mal wäre.

Verharmlosen möchte ich gar nichts. Ich finde die Lücken gravierend. Ich mag nur den "Zungenschlag" von dom_beta nicht, in dem immer Faulheit oder völlige Unfähigkeit seitens Apple unterstellt wird.
Bleiben wir mal bei HTML5: wenn die grundlegende Technologie Dinge zulässt, die sowohl positives für Arbeitsabläufe wie auch negatives für Schadprogramme ermöglicht, kann es sein, dass man die "Lücken" nie stopfen kann, ohne nicht ganz auf die Technologie zu verzichten. Das ist nicht auf meinem Mist gewachsen, das wird aktuell so in den Foren und Blogs diskutiert. Oft mit dem Ergebnis, dass die einzige Lösung mal wieder Hirn und Glück ist. Also keine Programme aus unbekannter Quelle. Die eingeschleusten Programme im App Store stehen auf einem anderen Blatt. Hier muss Apple dringend was tun und kann es auch am ehesten.
Aber all das hat nichts damit zu tun, ob Apple jedes Jahr ein Major Release raushaut oder alle zehn Jahre.

Er hat obig lediglich nachgefragt, ob das Thema hier bei MTN schon auf dem Tisch gelandet ist bzw. hat's in Unkenntnis dessen auf den Tisch gelegt. Du kannst ihm den Vorwurf der Faulheit machen, dass er, bevor er den Thread eröffnet hat, nicht vorher hier bei MTN nachgeschaut hat, ob's nicht schon längst thematisiert worden ist. Aber mehr auch nicht.

Und wenn Du meinst, er würde das zu Unrecht auf den Tisch legen und thematisieren, dann ist nicht er im Unrecht sondern Du. Denn man kann Apple tatsächlich Faulheit und Unfähigkeit und Verantwortungslosigkeit vorwerfen, und diejenigen, die diese Lücken gefunden haben, die werfen Apple das auch vor – in größter Regelmäßigkeit mittlerweile!
Und attestieren Apple ein Verhalten, das sich anscheinend nur dann ändett und sich Apple bewegt, wenn man sie öffentlich an den Pranger stellt und sie mit dem Rücken zur Wand durch öffentlichen Druck zum Handeln gezwungen werden, weil sich vorher bei denen offenbar kein Stück bewegt und sie so Einiges, auf die man sie nicht-öffentlich aufmerksam macht, auszusitzen und zu ignorieren pflegen!

Nein! Bleiben wir NICHT bei HTML5. HTML5 hat damit überhaupt nichts zu tun! Du eröffnest hier grad' einen Nebenkriegsschauplatz, lenkst vom eigentlichen Problem ab, das mit der Sache rein gar nichts zu tun hat!
Quelle: ,

Diese grundlegende Technologie, die das zulässt, heißt nicht HTML5, sondern sie nennt sich OSX bzw. iOS bzw. Apples AppStore-Konzept! Die vom Design, vom System-Design diesbzgl. systemisch fehlerhaft bzw. kaputt sind und gefährliche Lücken angelegt haben! DA liegt die Ursache. Und nur DA kann es repariert werden!

Du machst den Bock zum Gärtner, nimmst Apple auf unzulässige Weise aus der Verantwortung bzw. stellst es so dar, als wenn andere (Technologien, Software) dran schuld wären. Andere können nichts dafür, und leider auch nichts dran ändern wenn Apple ein fehlerhaftes System-Design angelegt hat und einen fehlerhaften und durchlässigen AppStore-Prüfprozess hat, die Änderungen können nur bei und von Apple selbst kommen, anderen sind da weitgehend die Hände gebunden, die können versuchen, zur Schadensbegrenzung auf ihrer Seite das Menschenmögliche zu tun, um das Risiko und die Gefahr wenigstens halbwegs zu minimiern, aber sie stoßen an ihre Grenzen, wenn das Ganze "broken by design" ist und das zugrundeliegende Betriebssystem löchrig ist und solche Fehlkonstruktionen aufweist und nur Apple das eigentlich wirklich beheben kann, indem sie es an der Wurzel beheben.

sierkb
Das etwas "broken by design" ist, wenn es trotzdem mehr als 10 Jahre gut funktioniert hat, ist letztendlich wurscht, da muss man jetzt nicht Recht haben müssen. Weil es ist Wurscht.

Der Knackpunkt ist doch: Apple weiß 6 Monate davon, dass jetzt das Scheunentor offen steht und tut nix.

Naja,
IPV6 war und ist schize
HTML5 ist klar kaputt
und Apple…lässt die Microsoftumsteiger sich gleich heimisch fühlen…fast, bis auf Safari

Tolle Wurst.
Ich glaub, bzw. ich weiß für richtiges Geld keinen Onlinezugang im Konto.

Ansonsten, gibt doch eh nichts wirklich wichtiges Online, oder irgendwelche Deppen, die sonst nichts machen den ganzen Tag…sollen die sich mit dem Müll rumplagen

Ernsthaft,
unter Jobs hätte es so eine schwule schize nicht gegeben

Aus dem Link von Marcel_75@work im ursprünglichen Thread.Das kannst Du jetzt gerne auseinandernehmen, ich werde dazu nichts sagen können. Ich kann als Laie nur feststellen, dass das sicher nichts mit Apples Einjahreszyklus für Systemupdates zu tun hat und nichts anderes hab ich dom_beta vorgeworfen.

Das stimmt einfach nicht. Lest doch bitte die Beiträge in den Blogs. Apple hat schon versucht etwas dagegen zu unternehmen aber wenn sierkb Recht hat, müssten sie ein ganz neues OS erfinden. In 6 Monaten?

Du kannst das aufgrund welcher fachlichen Expertise beurteilen und bewerten?
Ich sage mal: Deine Aussage ist unzutreffend und bestenfalls, wollte man Dir entgegenkommen, sehr sehr streitbar (weil's pure Notwenigkeiten sowie viele Verbesserungen und Vorteile hat wie auch einige wenige Nachteile und man nach einem sehr langen und kontrovers ausgetragenen Prozess sich drauf geeinigt hat, dass die Verbesserungen und Vorteile die Nachteile bei weitem überwiegen) und zeugt meiner Ansicht nach von Unkenntnis in der Sache.
Zudem: was hat das mit dem vorliegenden Thema zu tun? Bitte nicht ablenken vom Thema.

Siehe zuvor Gesagtes. Hier erst recht. Da verstehe ich noch weniger, wie Du zu so einer Aussage kommen kannst. Da ist gar nichts kaputt, da ist so Einiges sehr sehr heile und sehr sehr richtig gemacht worden und hat der Web-Entwicklung insgesamt auf gleich mehreren Terrains einen ganz großen positiven Dienst und Schritt nach vorne erwiesen, auch und gerade was die Imlementierung und einheitliche Schnittstellen (APIs) angeht, welche es mit der Spezifikation nämlich zum allerersten Mal verbrieft und herstellerübergreifend standardisiert gibt.

Aber wie gesagt: das ist hier nicht Thread-Thema. Bitte nicht ablenken.

Dem kann man sicher in gewisser Weise zustimmen, Tendenzen dazu sind immer stärker erkennbar.

Tolle Wurst.
Ich glaub, bzw. ich weiß für richtiges Geld keinen Onlinezugang im Konto.

Du greifst Dir dabei grad' selber an die eigene Nase?

Oh doch! Unter dem ist gewisse Schize überhaupt erst entstanden und hat bis zum heutigen Tag Fortbestand. Vor allem in den Köpfen der Führung, der Unternehmenskultur und den Köpfen der Nutzer. Und gravierende Probleme und Fehler und Fehlentscheidungen gab es unter ihm, zu seinen Lebzeiten ebenfalls. Und nicht wenig davon. Auch hat er auch auf so mancher Keynote vorne auf der Bühne Unsinn und Falschheiten gesagt, und die Leute haben's geglaubt.
Wann hört das endlich mal auf, ihn ständig zu heroisieren und auf ein Podest zu heben bzw. das aufzufrischen, auf welches er eigentlich, bei Lichte betrachtet, nicht hingehört? Steve Jobs war vor allem eines: ein begnadeter Selbstdarsteller und Blender. Der den Leuten teilweise ein X für ein U vorgemacht hat, und sie haben's ihm geglaubt. Dass sie ihm das geglaubt haben und sich haben mitreißen lassen, egal, was er da erzählt hat, das ist vielleicht seine größte Stärke gewesen. Ansonsten hat aber auch er viele Fehler gemacht. Er ist eben auch nur ein Mensch gewesen, einer mit Fehlern und Schwächen. Was ja auch normal und nur natürlich ist. Und richtig und gut und erdend, wenn man sich dessen zwischendurch immer mal wieder bewusst wird.

Aber wir sind Off-Topic und wollen und sollten nciht abschweifen. Thread-Thema ist hier ein anderes.

Apple hätte zumindest tun können, was Chrome getan hat: Das Speichern im Schlüsselbund komplett sperren.

Ja, man könnte auch den Start von OS X verhindern ...

was waren denn die vorherigen Male?

Aber broken by design - könnte sein.


kümmert sich Apple denn aktiv um seine etwas älteren Betriebssysteme?

Ab wann, wann haben sie damit angefangen? Sie wissen es nicht erst seit 6 Monaten. Sondern bereits seit 9 Monaten. Mindestens. Schon da kamen die ersten Hinweise und Versuche, sie drauf aufmerksam zu machen.

Sie wissen es schon länger. Mindestens seit 9 Monaten. Und schon 6 Monate sind eine verdammt lange Zeit, da irgendwas in Richtung Verbesserung und Fix hinzukriegen. Man hat Apple da im Grunde schon mehr Zeit zugestanden als allgemein üblich in der Branche. Auch bei den letzten aufgetretenen Sicherheitslücken. Selbst diese allgemein übliche Zeit PLUS wohlwollende zeitliche Zugeständnisse an Apple haben bisher irgendwie nie ausgereicht, Apple braucht da einfach regelmäßig zu lange bzw. lässt sich zu lange Zeit, bis wirklich was spürbares geschieht. Was kann man in 6 Monaten bzw. in diesem Fall 9 Monaten nicht alles wuppen, wenn man nur will und die entsprechenden Prioritäen setzt!

Zudem, im Zusammenhang mit der rootpipe-Lücke und Firmware-Lücke von einem der Entdecker und Sicherheitsforscher folgende Statements:
Quelle:
Quelle:

Man kann ihm da nur beipflichten, und er ist auch nicht der Erste, der das so oder so ähnlich öffentlich sagt und da durchaus drastische und klare Worte findet. Weil sich bei Apple offenbar sonst nichts bewegt, sie sich offenbar nur bewegen, wenn sie öffentlich bzw. durch die negativen Ereignisse und negative Berichterstattung gezwungen, zum Handeln genötigt bzw. gezwungen werden. Apple muss man offenbar regelmäßig zum Jagen tragen, immer wieder.

Wann endlich ändert sich Apple da mal substantiell? Wahrscheinlich erst dann, wenn die Umsatz- und Verkaufszahlen einbrechen und die Benutzer mit den Füßen abstimmen und ihre Produkte nicht mehr kaufen bzw. sich davon abwenden und die Shareholder deswegen dann aufbegehren und unruhig werden, weil ihnen ihre Gewinne flöten gehen. Das scheint dann die Sprache zu sein, die da wohl am ehesten verstanden wird und einen grundsätzlichen Wandel in der Firmenpolitik herbeizuführen in der Lage ist.

Wann endlich ändert sich Apple da mal substantiell? Wahrscheinlich erst dann, wenn die Umsatz- und Verkaufszahlen einbrechen und die Benutzer mit den Füßen abstimmen und ihre Produkte nicht mehr kaufen bzw. sich davon abwenden und die Shareholder deswegen dann aufbegehren und unruhig werden, weil ihnen ihre Gewinne flöten gehen. Das scheint dann die Sprache zu sein, die da wohl am ehesten verstanden wird und einen grundsätzlichen Wandel in der Firmenpolitik herbeizuführen in der Lage ist.

Absolut Zutreffend!!!

na hoffen wir es mal....

Auf jeden Fall sieht Tim Cook aus wie ein Scharlatan wenn man seinen Text von kürzlich liest

Wie Windows wurde dieses Mac OS icks...

Ich spreche Tim Cook durchaus nicht ab, dass er das so meint, was er hier vorgibt. Nur spricht er vor meinem geistigen Auge aber nicht mich, sondern diejenigen an, die daran glauben wollen/sollen (= Anteilseigner, neue Kunden, Fans u.a.).
Tim Cook hält den Laden zusammen und Apple verkauft zunächst mal Hardware: HARDWARE. Egal, ob Uhren, wollmilchlegende Eiersäue (iPhones) oder, ja, Rechner (war ja früher das Kerngeschäft).

Die die Apple-Geräte betreibende Soft- bzw. Firmware ist meines Erachtens nach – mental gesehen – für Apple nur ein notwendiges Übel: Stückzahlen zählen! Firmware/Betriebssystem passt Apple der Hardware an, nicht umgekehrt. Cook wurde doch in letzter Zeit nicht müde, dies zu proklamieren, wenn auch im Kontext zu Google, … aber wurscht.