Apple hat seit Oktober 2014 in der Sache nichts unternommen. Erst jetzt als es in der Öffentlichkeit bekannt geworden ist tut sich was. Nun ja, besser spät als nie.

Vielleicht sollten die Finder von Lücken sofort nach der Information von Apple die Öffentlichkeit informieren damit sich möglichst schnell was tut.

Wo steht das?

o.wunder

Und wie oft wurde seit 2014 die

Im Paper auf Seite 5:


o.wunders Behauptung, dass Apple "seit Oktober 2014 in der Sache nichts unternommen" hätte natürlich nicht richtig macht.
Apple hat sehr wohl etwas unternommen, aber der Fix konnte wieder umgangen werden.

ich denke mal, dass o.wunder nur das liest was er will bzw. zusammenhänge nicht begreifen mag.

Apfelpage » Sicherheitslücke: iOS/OS X anfällig für Passwort-Diebstahl http://www.apfelpage.de/2015/06/17/sicherheitsluecke-iosos-x-malware-zieht-passwoerter-aus-jeder-app/?dea=1?deactivateIphoneApp=1


LoCal
Meinst Du nicht das sie in 9 Monaten einen kompletten Fix hätten realisieren können?

Ohne jemanden in Schutz nehmen zu wollen, aber das kann man von außen nicht so einfach beantworten. Was ist, wenn es ein so tiefgreifendes Problem ist, daß massenweise Code angepasst werden muß? Was ist, wenn es ein konzeptionelles Problem ist? Dann kann man das mal eben nicht einfach so über Nacht ändern. Wird leider immer wieder vergessen.

Und welchen Grund gibt es dann die Rootpipe-Lücke unter 10.9 nicht zu fixen, oder neue Firmware für die EFI Lücke bereit zu stellen? Jaja, es ist halt sehr aufwendig…

Komisch das ein paar Opensource Hansels für 10.9 einen Rootpipe-Fix innerhalb von einer Woche bereitstellen konnten (sie geben zwar zu das der Fix, in der kurzen Zeit, keinen Perle der sauberen Programmierkunst geworden ist, aber er funktioniert).

Die Faktenlage ist einfach, Apple geht den Weg des geringsten Widerstandes, und macht nur so viel wie nötig.

Der Rootpipe fix für 10.10 soll sich nach einigen Aussagen auch umgehen lassen.

Zum Thema aufwendig: Viele User zahlen erheblich mehr Geld für einen Apple Laptop, nur um OSX zu nutzen. Aber wenn dieser Vorteil einmal wegfällt, gibt es auch sehr nette Laptops von anderen Herstellern, daher sollte Apple sich darüber auch mal Gedanken machen.

Wenn doch mal alle Schmalspur-Kommentatoren hier für Apple programmieren würden ... OS X wäre das sicherste, tollste und schnellste OS weit und breit ...

Dass es etwas anderes ist, mal eben einen Patch zusammen zu bröseln als so etwas für zig Duzende, Tausende, wenn nicht Millionen Hardware/Software-Kombinationen zu entwickeln, gerade angesichts der Tiefe des Problems, scheint aber außerhalb des Vorstellungshorizonts zu liegen.

Dann kommen nämlich die Schnellschuss-Updates, die dann bei 20% nicht funktionieren, und das Geschrei ist nicht minder groß.

Apple war ja der Meinung, dass sie es gefixt hätten, dann haben nach 9 Monaten die Forscher noch mal drauf geschaut und festgestellt, dass da immer noch eine Lücke ist … aber die war etwas anders.

Du kannst es Dir vielleicht so vorstellen:

Du baust bei dir zuhause einen neuen Schliesszylinder in deine Haustür.
Nun meinst Du dein Haus sei sicher
Dann kommt jemand und sagt: "Der Zylinder steht aussen über, den kann ich mit ner Zange rausziehen!"
Also baust du ein dickeres Blatt auf die Tür und der Zylinder ist nun plan … und du fühlst dich sicher.







Nun kommt aber wieder der, der Dich vorher auf den Fehler hingewiesen hat und sagt: Ok, ich kann ihn nicht mehr rausziehen, aber ich kann ihn weiterhin reindrücken …

Meine Meinung: egal wie tief im System verwurzelt oder konzeptionell das Problem auch ist, nach 9 Monaten und über mehrere Systeme hinweg (10.9-10.11) so einen Fehler nicht zu beseitigen ist ein Armutszeugnis oder halt auch einfach Ignoranz oder Hochnäsigkeit...

Wenn das so weitergeht, na danke

The SafeMac (17.06.2015): Multiple vulnerabilities found in Mac OS X
A group of six researchers at several universities in the US and China published a paper last weekend revealing the details of several different vulnerabilities in Mac OS X. These vulnerabilities all provide ways for a malicious app to gain access to data from another app. Frighteningly, these vulnerabilities can be exploited from a Mac App Store app, and can even allow an attacker to gain access to keychain entries!
Quelle:





Broken by design.

Also die Forscher melden Apple den Fehler und geben ihnen eine gewisse Zeit bevor sie er veröffentlichen. Das ist ja OK und auch üblich so.

Aber nach den Aussagen von Apple arbeiten sie selbst (mit Apple) an einer Lösung und veröffentlich die Lücke trotzdem?

Finde nur ich das etwas komisch?
Ich setzte mich doch nicht selbst unter Druck!?

Siganomas:

Apple hat auch hier wieder sogar mehr Zeit eingeräumt bekommen als es üblich ist. Es gibt Hinweise, dass da gewisse Schwächen schon länger bekannt sind als lediglich 6 Monate, auch Apple schon länger bekannt. Die 6 Monate sind also konservativ gerechnet. Und auch 6 Monate sind im Grunde schon länger als üblich zu gestanden zu Apples Gunsten, 6 Monate sind keinesfalls unbedingt üblich, üblich sind eigentlich weniger, nämlich 3 Monate, mit 6 Monaten ist man schon sehr entgegenkommend und gnädig mit Apple – irgendwann ist dieser Vertrauens- und Sympathiekredit, der Apple da entgegengebracht wird auch erschöpft, dann muss gehandelt werden, grad' wenn man Mitwisser ist. Aus einem gewissen Verantwortungsgefühl heraus den Benutzern gegenüber, wenn schon Apple keines an den Tag legt. Kein Gewissen kann sowas dann länger mittragen, derlei Lücken noch länger unter dem Deckel zu halten und Apple noch weitere Zeit einzuräumen, das auszusitzen und nicht wenigstens ein vorübergehendes Pflaster an die Nutzer (und zwar alle und sämtlich betroffene Produktlinien betreffend!) auszugeben, das das Schlimmste erstmal verhindert.

Weil's langsam Zeit wird, dass da mal Bewegung in die Sache kommt und Apple in Wallung kommt und echte Ergebnisse zu den Benutzern rüberschiebt statt diese noch länger im Regen stehen zu lassen.

Apple wird jetzt, nachdem sie über Monate hinweg die Forscher mit ihren Erkenntnissen ignoriert und auf deren Hinweise nicht oder nur schleppend reagiert haben, aufgrund der nun erfolgten Öffentlichmachung und des öffentlichen Drucks (da sind offenbar 0-days drunter, Proof of Concepts und Exploits gibt es somit bereits), sich bei den Forschern endlich gemeldet haben nach dem Motto: "Bitte helft uns! Schnell!"

Apple reagiert auch hier offenbar immer erst dann spürbar, wenn man sie öffentlich an den Pranger stellt und somit (Handlungs-)Druck erzeugt, solange sitzt Apple das aus und lässt seine Benutzer im Regen stehen. Die kaufen das Zeugs doch eh auch so, also warum beeilen?

Du hast leider ganz und gar nicht verstanden, was ich meinte.

Tja, dann sag mal, ob Du einen tieferen Einblick hast, dies beurteilen zu können.

Dann hätte Apple so richtig, richtig, richtig, richtig Scheiße gebaut. Weil gleich mehrfach und so grundlegend und tiefgreifend und konzeptionell. Und müsste dafür noch viel mehr geprügelt werden als ohnehin schon und mit deftigem Liebesentzug seitens der Nutzer bestraft werden.
Eben weil sie stets das Maul so sehr aufreißen und sich gerne über andere erheben und besser wähnen als sie, und eben weil sie so sehr viel Geld scheffeln und vor Kraft kaum laufen können, dieses Geld aber offenbar lieber einsetzen, um sich dicke repräsentative Paläste zu bauen statt es einzusetzen, um die Produktqualität und Produktsicherheit zu verbessern. Wird ja offenbar auch so gekauft, das Blendfeuerwerk, das die Marketing-Abteilung da immer abfeuert, funktioniert ja auch so, und die Nutzer lassen sich gerne blenden vom schönen Schein, der offenbar eben immer öfters und nicht lange zu verbergen trügt und es unter der glitzernden Oberfläche eben ganz anders und weniger glänzend aussieht, weil man da gerne spart und sich offenbar zu fein dafür ist, da Arbeit reinzustecken, es würde ja Arbeit machen und Mühe kosten und sich nicht direkt bezahlt machen. Wird doch sowieso brav und gläubig von den Usern, die dem Marketing-Geklingel bedingungslos, treudoof und unkritisch erlegen sind, gekauft und selbst die schwerwiegensten Fehler bis aufs Messer gegen Kritiker verteidigt (Schuld sind immer nur die anderen).

Siehe zuvor Gesagtes. Wolltest Du das gerne als Antwort auf Deine gestellten Fragen haben? Bitte. Kannste haben.

Woher willst Du das wissen? Ich meine das nicht mal speziell auf Apple gemünzt, sondern allgemein.

Ich kenne diese Problematik aus meine Berufsleben. Da kommt ein außenstehender und meint: "So ne Windows-Rollout-Konfiguration haste doch in ein paar Tagen durch". Leider sieht die Realität völlig anders aus. In Wirklichkeit braucht dieser Prozess Monate. Eben weil es dabei nicht bloß um das Windows an sich geht. Aber das haben die nicht im Blick.

Deswegen finde ich es immer wieder belustigend, wenn jemand behauptet: "Das bekommt man doch ruck-zuck geflickt. Man habe die Scheiße gebaut.". Da geht mir einfach der Hut hoch.

+1

PaulMuadDib:

Du missverstehst mich. Es geht nicht darum, dass Apple es nicht ruck-zuck hinbekommt. Damit wären sie ja sogar noch realtiv entlastet. Nein, andersherum wird ein Schuh draus. Wenn das Problem offenbar so dermaßen tiefgreifend ist, dass sie es eben nicht ruck-zuck hinbekommen, dann scheint da also so richtig tiefgreifend etwas im Argen zu liegen, das heißt, das gesamte Betriebssystem ist in wesentlichen Teilen sicherheitstechnisch vor die Wand gefahren und weist ganz wesentliche Designfehler auf. Und zwar so dermaßen, dass das halt nicht mal eben schnell an der Oberfläche geflickt werden kann, sondern das gesamte Betriebssystem muss/müsste in seiner Aufstellung in seinen wesentlichen Zügen neu überdacht und umstrukturiert werden. In dem Fall würde zutreffen: Apple hat richtig richtig richtig Scheiße gebaut. Und Anzeichen in genau dieser Richtung mehren sich halt, dass dem so ist.
Und Apple weiß davon offenbar schon länger. Und zeigt bisher auch in den Betas des kommenden 10.11 El Capitan offenbar keinerlei Anzeichen dafür, dass sie hier bisher strukturell etwas geändert haben, sondenr das Betriebssystem mit eben genau denselben Schwachstellen weiter in die nächste Runde bringen, ohne erkennen zu lassen, dass sie an dem Grundproblem, das hier offenbar vorliegt, bisher irgendetwas geändert haben.
Und wenn das zutreffen sollte, und bisher ist leider nichts Gegenteiliges, nichts wirklich Entlastendes sichtbar, noch nicht mal in den in die Zukunft gerichteten Developer Betas, dann wäre der Vorwurf, dass Apple hier richtig richtig richtig Scheiße gebaut hat und das Ganze, zutreffend.

Je länge Apple dafür braucht, weil die Begründung heißt, das Problem sei so komplex, umso weniger sollten Du und ich uns drüber freuen, und umso größer ist der Vorwurf, der Apple da zu machen ist. Weil sowas einfach nicht passieren darf. Erst recht nicht Apple. Und erst recht nicht dieser Firma, die sich so sehr erhoben hat und erhebt über andere bei ähnlichen Problemen und daraus Kapttal schlägt und die Marketing-Maschine glühen lässt und den Nutzern über Jahre das Gefühl gibt, man sei besser, man könne es besser als die anderen. Hundsfurze kann Apple besser! Alles mehr Schein als Sein bei Apple und viel viel Marketing und überzogene Versprechen! Die Oberfläche glänzt, und darunter sieht's oft sehr düster und unsauber aus. Das ist leider die traurige Realität. Apple blendet gerne sehr viel. Und die Nutzer lassen sich gerne blenden vom schönen Schein. Leider.