Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Die ersten Woche des "Month of Apple Bugs"

Die erste Woche des von zwei Sicherheitsexperten aufgerufenen Monat der Apple-Bugs ist vorüber. Wie angekündigt, wurde in den vergangenen sieben Tag täglich ein neuer Bug veröffentlicht, der allerdings nicht immer direkt etwas mit Apple-Software zu tun hatte.
Den Anfang machte eine Fehler in QuickTime bei der Verarbeitung von rtsp-Adressen, über den sich Programmanweisungen einschleusen lassen.
Der zweite Bug ist dagegen in dem bekannten VLC Media Player versteckt, den es auch für Mac OS X gibt. Hier können über die Verarbeitung von udp-Adressen Programmanweisungen eingeschleust werden.
Der dritte Bug wurde wieder QuickTime entdeckt, wobei diese mal die Verarbeitung von JavaScripts mit HREFTrack ein Problem darstellt, da dadurch auf Web-Seiten-fremde JavaScripts zugegriffen werden kann.
Den vierten Bug fand man in iPhoto bei der Verarbeitung von Photocasts. Über den Titel soll es unter Umständen möglich sein, Programmanweisungen einzuschleusen.
Der fünfte Bug wurde im Festplatten-Dienstprogramm gefunden und betrifft die Verarbeitung von BOM-Dateien. Über diese kann sich ein lokaler Angreifer bei der Reparatur der Dateirechte neue erweiterte Privilegien zusichern.
Den sechsten Bug hat man in den aktuellen PDF-Spezifikationen gefunden, womit er auch Mac OS X betrifft. Durch bestimmte fehlerhafte Seiteneinträge in PDF-Dokumenten kann es zu einem Absturz mit möglichen Speicherlücken kommen, über die dann möglicherweise auch Programmanweisungen eingeschleust werden können.
Der siebente Bug betrifft die JavaScript-Verarbeitung in OmniWeb. Hier lassen sich über die alert()-Funktion Programmanweisungen einschleusen.

Weiterführende Links:

Eskalationskurs: ARM kündigt Qualcomm die Design-Lizenz
Eskalationskurs: ARM kündigt Qualcomm die Desig...
Apple Watch Series 10
Apple Watch Series 10
Leak aus macOS Sequoia: Apple bestätigt neuen Mac mini?
Leak aus macOS Sequoia: Apple bestätigt neuen M...
Musikbranche verklagt KI-Anbieter
Musikbranche verklagt KI-Anbieter
Mac mini M4 im ersten Test: Was hält der kleine Würfel?
Mac mini M4 im ersten Test: Was hält der kleine...
Mac mini mit M4
Mac mini mit M4
Apples interne Einschätzung: Zwei Jahre Rückstand zur KI-Konkurrenz
Apples interne Einschätzung: Zwei Jahre Rücksta...
Vor 30 Jahren: Apple holt Sanierer – kann das sinkende Schiff noch gerettet werden?
Vor 30 Jahren: Apple holt Sanierer – kann das s...

Kommentare

noi$ia08.01.07 08:46
und ich freu mich auf die kommentare dazu:)
0
derondi
derondi08.01.07 08:50
Na ja, nachdem die Kollegen Hacker ja einsehen mussten, dass es für einen ganzen Monat nicht reicht, und sie ihre FAQs schnell angepasst haben, waren ja doch noch ein paar Klopfer dabei.

Immerhin sind ja auch die Hälfte der Bugs echte Apple-Bugs. Und ich denke, zur Macworld werden noch die ganz großen Dinger kommen..

Bin mal gespannt wann die ersten offiziellen Fixes kommen, beim VLC gab's den ja schon - die Jungs vom OmniWeb werden wohl auch recht zügig sein..
0
Dr. Seltsam
Dr. Seltsam08.01.07 08:55
Insgesamt finde ich das was bisher abgeliefert wurde ziemlich dünn. Das es sich bei vielen der Bugs nicht um Apple Produkte handelt, sollte man den Namen der Aktion dringend überdenken, er ist irreführend.
0
sigma208.01.07 08:58
@derondi

Heute wohl noch nicht viel gesurft? Omniweb ist bereits gefixt. Die neue Version ist 5.5.2 (v607.12) und steht auf der Omi Webpage bereit.
0
derondi
derondi08.01.07 09:08
sigma2:
Auf der Arbeit hab ich halt 'ne Windows-Möhre und von daher noch nix mitgekriegt vom Update.

Is ja wirklich richtig klasse.

Wäre es was im Internet Exploder gewesen hätte man wohl ein halbes Jahr drauf warten dürfen..
0
Cmon
Cmon08.01.07 09:40
Jep...Sicherheitsprobleme von Anwendungen haben ja an sich nichts mit dem Betriebssystem zutun. Sonnst wäre Windwos ja NOCH unsicherer...
Bei MTN seid 2003…wie die Zeit vergeht!
0
derondi
derondi08.01.07 09:46
Cmon:
Nee, man sollte da schon abwägen, wie nah die systemnah die Anwendung ist, ob sie mittgeliefert wird (also zum OS quasi dazugehört) und ob sie von einem Drittanbieter kommt oder nicht.

So ist der Internet Exploder oder der Windows Media Player m.A.n. schon Teil des OS - genauso wie etwa iLife, Safari etc.

Sind in diesen Apps Bugs enthalten muss sich der OS-Hersteller schon den Schuh anziehen(!)
0
noi$ia08.01.07 09:47
aha, und wodurch entstehen bei windows sicherheitslücken? doch nicht etwa per outlook, word, internet explorer, javascrpit etc.???
klar, es gab und gibt bestimmt auch gravierende lücken (z.b. bei der remote funktion), jedoch sind diese klar in der unterzahl...
0
noi$ia08.01.07 09:48
da kam mir jemand schon zuvor.
@derondi: seh ich genauso
0
macsheep
macsheep08.01.07 09:50
Insgesammt wohl eine sinnvolle Aktion, auch wenn kritik in der Namensgebung gerechtfertigt ist. allerdings schadet dies Apple ja nicht wirklich auch mal in den schlechten News zu sein, das haltet fit.

Was jetzt folgen muss sind Taten seitens Apple, sonst müssen wir die Kritik von @@ derondi an IE und M$ uneingeschränkt auch für Apple anwenden.
Meinung (er)tragen mit Stil.... www.etrtragbar.ch
0
derondi
derondi08.01.07 10:01
macsheep:
Na ja, die Vergangenheit hat gezeigt, dass recht einfach zu fixende Lücken - was die bisherigen ja alle sind, soweit ich das einschätzen kann - recht zügig geschlossen wurden. Wenn Apple clever ist bringen sie die ersten Updates noch während der MacWorld um zu zeigen, dass sie was tun. Danach werden sie wohl sammeln und nach dem MOAB komplett patchen. So würde ich es jedenfalls machen.

Sinnvoll finde ich die Aktion in der Form jedoch nicht. Wer die VLC-Jungs so dermaßen an die Wand klatscht gehört zwischen die Beine getreten. Auch die sehr schnelle Reaktion von Omnigroup zeigt, dass man auf diese Art und Weise keinen Druck ausüben braucht(!)
0
Dieter08.01.07 10:10
War Bug 3 nicht ausschließlich für Windows?
0
MacTobi
MacTobi08.01.07 10:14
derondi:


IE und WMP sind im Windows-System tief verankert.

Wo ist das z.B. bei der iLife-Suite oder dem Safari?
Ein Kluger bemerkt alles. Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)
0
derondi
derondi08.01.07 10:21
MacTobi:
Das stimmt so nicht(!) Die EU da bspw. durchgesetzt, dass MS eine Version ohne (nicht nur deaktiviert) Media Player verkaufen muss. Siehe da: es geht. Den IE kann man genauso komplett entfernen; dazu gibt es im Netz genügend Anleitungen und es kursieren auch "Lite" o.ä. bezeichnete Builds von Windows ohne jeglichen IE, MP oder sonstigen Dreck.

Und selbst wenn iLife nicht so "verzahnt" wäre liefert es Apple immer noch mit und bewirbt es als Feature beim Kauf der Rechner. Und wenn du selbst das nicht gelten lassen willst hätte ich noch genug andere Beispiele für Apps. Safari hab ich ja schon genannt, dann kämen noch Mail, iCal, iChat und nicht zu vergessen das Dashboard - über das mit Sicherheit auch recht viel Schabbernack getrieben werden kann.
0
Stefab
Stefab08.01.07 10:26
 MacTobi: Bei Safari ist es das Webkit, das unter anderem von Mail und anderen Browsern genutzt wird und Quicktime ist auch tief im System verankert. iLife ist da eher etwas anderes, aber trotzdem noch bei jedem Mac dabei.

 noi$ia: Du meinst das wohl ironisch, oder? Bei Windows basieren schon viele Bugs, Probleme und Sicherheitslücken auf dem ebenso recht tief im System verankerten IE und anderem Kram (ActiveX, WMP, Word, etc.)
0
noi$ia08.01.07 10:49
stefab: was hab ich denn anderes gesagt?
ich antwortete übrigens auf cmon's kommentar:
"Jep...Sicherheitsprobleme von Anwendungen haben ja an sich nichts mit dem Betriebssystem zutun. Sonnst wäre Windwos ja NOCH unsicherer..."

ich bin ja eigentlich auch der meinung, dass software à la wmp und ie zum os gehören. nur wollte ich dem cmon zeigen, dass seine idee nicht ganz aufgeht.

aber wie schon öfters gesagt wurde:
manche macianer sollten einfach mal nichts zu windows sagen. gewisse vorstellungen sind doch arg fern der realität!

0
macsheep
macsheep08.01.07 10:59
noi$ia

Meine Rede, danke.


Ich finde die Aktion auch trotz der eventuell harten Art und Weise (Obwohl man, will man Programme verticken oder verschenken, auch genug dicke Haut besitzen muss um harsche Kritik einzustecken) recht gut, denn unterm Strich schaut dabei gutes heraus: Die Verbesserung des OSX und weiteren Programmen.
Meinung (er)tragen mit Stil.... www.etrtragbar.ch
0
noi$ia08.01.07 12:15
macsheep:
ich sehe diese übung auch sehr positiv.
es wird zeit den leuten zu zeigen, dass auch apple nicht vor fehlerhaften software gefeit ist.
apple und andere hersteller bekommen hier eine spitzen gelegenheit, sie können schnell reagieren und somit unter beweis stellen, dass osx eine sichere plattform darstellt.
ist doch besser als wenn einer in seinem keller an nem fiesen trojaner/virus werkelt und es 3 wochen dauert bis jemand eine lösung findet...
0
derondi
derondi08.01.07 12:30
noi$ia:
Ja, natürlich. Prinzipiell ist es zu begrüßen, dass sie diese Bug-Wochen machen. Nur direkt einen Beispiel-Exploit dazu zu packen ist schlechter Stil. Dann sind dort wohl auch Strings gefunden worden (hab ich nicht selbst überprüft), an denen mehr oder weniger steht "hier Schadcode einfügen".. (sick)

Dazu wurden dann noch die OS-Jungs vom VLC genauso getreten wie Apple, hier wäre es deutlich besserer Stil gewesen die Leute einen Tag vorher zu informieren und den Link zur gepatchten Version statt des Exploits mit zu liefern. Bei OmniWeb sieht es ähnlich aus.

Daher mein Schluß: PR-geile Wichtigtuer, die eine an sich gute Sache in den Dreck ziehen(!)
0
zeko
zeko08.01.07 12:50
derondi
Das man den IE vom XP trennen kann, höre / lese ich das erste mal. Es gibt keine Möglichkeit aus einem normalen Windows XP mit Service Pack 2 den IE aus dem System zu entfernen.
Dies ist beim Mac OS X bei weitem nicht so.
0
pixies08.01.07 13:10
Sehr lesenswert in dem Zusammenhang auch immer wieder Daring Fireball… die Macher von dem ganzen scheinen einen richtig bösen Profilierungsdrang zu haben
0
derondi
derondi08.01.07 13:27
zeko:
0
noi$ia08.01.07 13:36
derondi:
na das wusste ich nicht. bist du dir sicher, dass sie die jungs von vlc nicht vorher informiert haben?
falls nicht wärs alles andere als die nette art:).

zeko: das kann man schon, ist jedoch relativ kompliziert und für anfänger mit einigem risiko verbunden. ich würds keinem empfehlen.
man kann sich ja opera/firefox installieren und den ie bloss für updates benützen. das reicht eigentlich.
probleme die im zusammenhang mit dem ie(das sind einige) sollten danach gefixt sein. 90% der folgenden probleme liegen dann wie so oft 40cm vor dem bildschirm;), was bei windows halt nunmal ein bisschen heikler ist als bei osx;).
0
derondi
derondi08.01.07 13:45
noi$ia:
Nun ja, so sicher wie man sich halt sein kann ohne eine der beiden beteiligten Gruppen persönlich zu kennen.
0
morcel08.01.07 14:03
endlich beklagen sich mal nicht alle über diese lückenfinder ^^ ist ja wirklcih nicht so übel, wenn ein paar lücken gefunden werden. Das sensibilisiert und sensibel sollten doch alle sein nicht wahr?
0
noi$ia08.01.07 14:08
offtopic:

find ich bemerkenswert wie hier im thread plötzlich die leute mit ihrem halbwissen bezüglich xp, osx und sicherheit sparen:).

ich glaub ich klopf öfters mal auf die finger:-P
0
derondi
derondi08.01.07 14:19
noi$ia:
Es ist ein Tag vor der Keynote, da hyperventiliert man bei den anderen "News"..
0
noi$ia08.01.07 14:22
derondi:
ich bin ja auch gespannt mit was uns der stevie überrascht.
für manche hier ist der news ticker von morgen wohl reinste porno.
0
noi$ia08.01.07 14:30
"der" reinste porno(policeman)
0
dan@mac
dan@mac08.01.07 14:51
Naja, jedenfalls muss Apple nicht selber nach suchen und hat jetztz die Gelegenheit sie Fehler zu beheben.
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.