Wie sieht es denn eigentlich mit Besitzern von einem 3G aus? Müssen wir jetzt mit diesen ganzen Sicherheitslücken leben?

Du hast es geschafft, auf deinem 3G 4.3 zu installieren?

Nein, musste er nicht, da dort gar kein ASLR verfügbar ist, steht die Lücke ohnehin offen.

Apple muss dringend mal seinen Arsch hochkriegen und vor allem für alte iOS-Geräte Patches anbieten.

ist das nun ein gerücht oder weiss jemand etwas genaues? gefühlt sind inzwischen 50% aller news auf dieser seite nichts als gerüchte.

Ja genau weil für all die anderen Millionen
Smartphones auf diesem Planeten auch noch heute alle Hersteller Sicherheitspatches anbieten. Komm zurück auf den Boden der Tatsache: Das 3G ist nach wie vor ein gutes Telefon aber eben nicht mehr aktuell und deshalb wird man nicht bis in alle Ewigkeit Patches und Updates bereitstellen.

Die meisten Hersteller haben die ihre Modelle bereits vergessen nachdem du sie im Laden kaufen kannst! Und ja ich hatte schon Nokia, HTC, Samsung, Palm und weitere Smartphones und kenn die Update Mentalität der Hersteller zu genüge.

Welche Sauerei, für ein 3 Jahre altes Telefon kein Update mehr zu bringen...

Ich hoffe, Ihr holt euch bei euren Autos auch immer alle Updates!

So kann nur ein vom Subventionierungswahn der Mobilfunk-Provider Gehirngewaschener sabbeln. Kranke Welt.

Charlies Exploit funktioniert nicht gegen 4.3. Bei pwn2own hat er es gegen 4.2 laufen lassen.

Ansonsten hier lang für mehr Details über den Fake-Wettbewerb:
http://www.macmark.de/blog/osx_blog_2011-03.php#pwn2own_fake_wettbewerb

Na hoffentlich wird dann das Geruckel aufm i4 auch mit beseitigt...
Hatte ich ja seit dem 3GS nicht mehr

http://www.iclarified.com/entry/index.php?enid=14229

Chili-Apfel:
Das 3G mag ein drei Jahre altes Telefon sein, es wurde aber von Apple noch bis ins letzte Jahr hinein verkauft. Dass keine Feature-Updates mehr kommen ist aus meiner Sicht okay. Sicherheitslücken sollten aber auf jeden Fall geschlossen werden, solange die 3G noch nennenswert in Benutzung sind. Das dürfte unzweifelhaft der Fall sein.
Bei Smartphones den selben Standard anzulegen wie bei normalen Handys ist da unangebracht.

,

,

macwiz

Ja die Sache mit dem Ruckeln ist mir auch aufgefallen. Jetzt wird langsam das iPhone 4 zum alten Eisen gepatcht, das neue »superschnelle« iPhone 5 soll ja auch gekauft werden … *sick*

Necio: volle Zustimmung! Zudem ist eine Einstellung, das man gefälligst spätestens alle 2 Jahre ein neues Telefon kaufen soll, völlig für den Arsch. Mehr Verschwendung von Ressourcen geht nicht.
Dann sollen sie halt die Securitypatches nach Ablauf von 2 Jahren kostenpflichtig für 1,99€ anbieten. Infrastruktur dafür hat Apple ja genug....

Bei den Androiden ist das die Regel: Telephone / Slate kaufen und keine Updates bekommen - jemals. Weil die Hersteller das einfach nicht einbauen, auch wenn Google es fixt.

Ich gehe davon aus, daß Apple auch weiter Bugfixes für 4.2 macht.

In Sachen Apple und Security hat mir folgender Artikel doch etwas zu denken gegeben:



Ist vielleicht etwas reisserisch aufgemacht, aber wohl kaum gaenzlich falsch...

Der Artikel ist ziemlicher Quark. Die "schwere Lücke" ist in der Airport Extreme Base Station. Meines Wissens läuft auf der kein OS X. Heise hat sich in der letzten Zeit ein paar Dinger geleistet online, in der c't und in Mac&i. Ich werde ihnen und den angeblich beteiligten Hackern mit meinem nächsten Artikel ein bißchen Nachhilfe geben.

Hi MacMark,
warum wurde denn dein "Pwn2Own, der Fake-Wettbewerb Thread" bei Heise gelöscht, gesperrt oder was auch immer?

Übrigens MacMark,
mein Gott ist das ein lächerlicher Verschwörungstheorie Kram. Ist ja so was von peinlich. Das sich überhaupt jemand traut so ein Käse zu schreiben. Unfassbar ...

Email von heise, in der auch mein Beitrag zu sehen ist:

Dabei sind das Links auf Detailinfos zum Thema auf einer nicht-kommerziellen privaten Seite.

Arronax
Du findest es nicht merkwürdig, dass jedes mal Apple als erstes dran kommt? Ich habe mich das schon letztes Jahr gefragt. Und dieser selbsternannte Sicherheitsexperte alias Fefe behauptet ja in seiner üblichen herablassenden Weise Mac OS sei so unsicher. Wieso brauchen die dann für den Wettbewerb viele Wochen und ein bisschen Glück, um das System zu hacken? Das passt doch alles nicht.

Letztendlich sagt weder der Wettberb noch das Geschreibsel vom Fefe etwas über die Sicherheit aus. Alles nur Vermutungen. Das hilft leider keinem.

Auch wenn, in wie weit ist das denn relevant? Überhaupt nicht, was also soll der Kram?
Es ist eben nur ein Hackerwettbewerb. Er ist nicht repräsentativ, die Ergebnisse kann man nicht ohne weiteres verallgemeinern u.s.w. u.s.w.
Auch was die Medien daraus machen kann man kritisieren u.s.w. u.s.w.
Es gibt diverse zu diesem Wettbewerb anzumerken, was allerdings MacMark daraus macht "Die Pwn2Own-Veranstaltung, getarnt als "Hacker-Wettbewerb" ist eine Fake-Veranstaltung, um Apple so schlecht wie nur möglich aussehen zu lassen"
Das ist nichts weiter als eine nicht ernstzunehmende Verschwörungstheorie, mit Nonsens Argumenten.
Es ist doch z.B. absolut bekannt das sich die Hacker monatelang darauf vorbereiten ..
Wann sponsert denn Apple schon mal irgendwas, oder ist an irgendeiner Messe vertreten - so gut wie nie. Die anderen machen es aber permanent. Jetzt so etwas zum Beweis für eine Verschwörung heranzuziehen .. wie bescheuert ist das denn
u.s.w. u.s.w.

MacMark
Du hast ein richtig schlimmes Problem. Das was mit dir abgeht nennt man nicht mehr normal...das ist krank.

MacMark Fefe darf mensch auch nicht ernstnehmen.. besonders wenns um Apple geht... und allein, dass er da OS 7 - 9 noch mit ins Spiel bringt ist peinlich.. als würde OS X darauf basieren

Ich frage mich, warum sich hier manche an Felix von Leitner hochziehen und ihn zu diskreditieren versuchen, weil er Kritik an Apple und MacOSX übt.

Er ist schließlich nicht der einzige Sicherheitsexperte, der sich bzgl. Apple und MacOSX zu Wort meldet und Kritik übt und Schwachstellen aufzeigt.

Die Sicherheitsexperten/Hacker, denen es jetzt wiederholt gelungen ist, in MacOSX und IOS einzudringen (namentlich und zuvorderst Charlie Miller), die sind von Apple derzeit persönlich eingeladen worden, das kommende MacOSX Lion vorab und unter NDA stehend, ganz gezielt auf Schwachstellen hin abzuklopfen und in Augenschein zu nehmen. Nicht nur, dass Apple diese Leute jetzt um ihre Expertise gebeten und zu sich eingeladen hat, nein, der Name Charlie Miller und Konsorten tauchen seit längerem schon auch regelmäßig in den Credits von Apples Security Advisories und Secirity Release Notes auf, wenn Apple mal wieder seine Produkte gepatcht hat. Und zufälligerweise finden sich unter Apples Patches, die dann entweder im direkten zeitlichen Zusammenhang mit so einem Hacker-Wettbewerb rausgehauen werden (um nicht ganz so blöd dazustehen) oder leider allzuoft auch mal mit gehöriger Verspätung den Normalnutzer erreichen, dann auch regelmäßig u.a. genau diejenigen Schwachstellen als gefixt wieder, welche zuvor offen gewesen sind und durch die ein Charlie Miller und Co. zuvor hat durchschlüpfen können. Also muss er ja irgendwas glaubhaft vorzeigen können, wenn Apple im zeitlichen Umfeld solcher Hacker-Wettbewerbe wie den gerade laufenden, dann "zufällig und bis auf ein/zwei Ausnahmen gerade noch rechtzeitig" genau diejenigen Lücken schließt, auf die er und andere Apple mit dem Kopf und der Nase gestoßen haben (solche Leute informieren normalerweise den Hersteller Wochen und Monate vorab über diese Lücken und geben ihm ausreichend Zeit und Gelegenheit, diese Lücken zu schließen, und wenn's zu lange dauert oder eine vereinbarte Frist sich dem Ende zuneigt oder ergebnislos verstrichen ist, dann wird zuweilen dann auch mal der Druck sanft erhöht, indem man deutlich macht, dass man in Bälde vorhat, zu veröffentlichen, wie man diese Lücke denn nun konkret ausnutzen konnte und kann, nachdem man innerhalb eines Wettbewerbs mit Preisgeldern öffentlich hat zeigen können, dass man sie ausnutzen kann und zu dem Zeitpunkt dann noch verschweigt, wie man das denn nun tatsächlich konkret gemacht hat).

Offenbar hält Apple von diesen Leuten wie Charlie Miller und Co. ein bisschen mehr und nimmt sie und das was sie zu sagen haben und herausfinden ein ganzes Stück ernster als es ein gewisser MacMark tut, der namentlich bisher NICHT in irgendwelchen Security Release Notes von Apple in Erscheinung getreten ist (ein Charlie Miller hingegen fast regelmäßig) und mit hoher Wahrscheinlichkeit auch NICHT von Apple eingeladen worden ist, MacOSX Lion vorab auf Sicherheitslücken zu untersuchen (ein Charlie Miller und andere namhafte Mac-Hacker wie Dino Dai Zovi etc. hingegen schon: ).

Und zu Felix von Leitner (aka Fefe) und seinem fachlichen Wissen insbesondere bzgl. Sicherheit:
Ich glaube, der Mann weiß sehr genau, worüber er in Security-Dingen spricht. Er ist kein selbsternannter Sicherheitsexperte wie ein MacMark es immer wieder gerne sein will, wenn er Apple und MacOSX gegen den Rest der Welt verteidigt, sondern Felix von Leitner ist tatsächlich ein Sicherheitsexperte und verdient damit sein Geld (seine Kundenliste ist durchaus mal einen Blick wert)! Und andere, die ihn zum Interview einladen wie z.B. jüngst der Heise-Verlag, die wissen auch sehr genau, mit wem sie da sprechen und an welchen Stellen man ihn ernst nehmen darf und soll und welchen Stellen man ihn weniger ernst nehmen darf und soll.

Fefe (nicht ohne eine gewisse Portion Selbstironie und Abstand zu sich selber) über sich und sein Blog:

Fefe Blog FAQ: und
Fefes Homepage:
Fefes Blogeinträge bzgl. Apple:
Berufliches Umfeld: Code Blau security concepts , Referenzen/Kunden:
Wikipedia: Felix von Leitner/Fefes Blog

sierkb
Fefe ist ein enervierender Schwätzer, der zu allem und jedem etwas zu sagen hat, aber von den meisten Sachen nicht wirklich etwas versteht.
Zum Themal Googles WebM/VP8 vs. H.264 meinte er, dass Apples Festhalten an letztgenanntem Codec scheinheilig wäre, da sie ja auf ihren mobile devices H.264 nur rudimentär mittelst Baseline Profil unterstützen würden.
Nun hätte das erstmal grundsätzlich nichts mit einer Entscheidungsfindung für oder gegen einen reinen Browsercodec wie VP8 zu tun, allerdings ist das typisch für Fefe, der seine, streckenweise äußerst dünne, Argumentationskette gern mit derlei rabulistischen Tricks aufpeppt.
Darüberhinaus steht aber fest:
1. auch H.264 im Baseline Profile ist "echtes" H.264
2. keine Gerätekategorie unterstützt den gesamten Spezifikationsumfang besagten Codecs, nicht einmal Blu-ray...ganz einfach, weil schlicht keinen Sinn macht
3. Fefe ist offensichtlich zu faul und/oder zu dämlich die Specs von Apples aktuellen mobile devices zu verinnerlichen, denn sonst wüsste er, dass diese mittlerweile H.264 bis Main Profile Level 3.1 bedienen.

Mal geschaut,
http://blog.fefe.de/?q=Apple da steht doch:
"Und Apple spricht ja eh nicht H.264 sondern je nach Gerät nur Baseline-Profil und kann auch von AAC nur eine Teilmenge des Standards, d.h. webm muss qualitätsmäßig gar nicht mit dem H.264 High Profile konkurrieren und kann da mithalten."

Von seinen Aussagen stimmt doch im Grund alles. Main Profile Level 3.1 ist ja nun mal auch kein High Profile u.s.w. Was nochmal wirfst du ihm genau vor?

rudolf07:

Es gibt schlimmere Schwätzer, die vor allem tatsächlich Unsinn verbreiten und die Leute für doof verkaufen. Das steht bzgl. Fefe hier aber nicht zur Debatte. Zur Debatte steht, ob er was von Sicherheit versteht und das, was er diesbzgl. zu sagen hat, grundsätzlich ernst genommen werden kann und darf oder nicht. Und ich bin der Meinung: ja, er kann und darf da ernst genommen werden -- gerade auf diesem Gebiet. Und das, was er da fachlich auf dem Gebiet sagt, deckt sich i.d.R auch mit dem, was andere Kapazitäten auf dem Gebiet und von internationalem Rang und Namen von sich geben. Von daher fällt er da mal gar nicht so aus dem Bild.

Siehe zuvor Gesagtes. In dem Punkt versteht er was davon. Wer sich wie er seit etlichen Jahren im Umfeld des CCC bewegt (wenn er nicht sogar dort seine fachlichen Wurzeln hat) und beruflich eine solche Referenzliste hat und sich mit dem Thema Sicherheit beruflich auseinandersetzt und auf dem Gebiet seine Kunden hat, der versteht i.A. und sehr naheliegenderweise was von Sicherheit, Betriebssystemen und Computern.

Wo er recht hat, hat er recht. Apples iPhone bis einschließlich iPhone 3 kann von H.264 lediglich das Baseline-Profil wiedergeben. Erst das iPhone 4 springt da eine Stufe höher und gibt H.264 in dem gegenüber dem Basline-Profil leicht besseren (aber auch nicht so viel anderem) Main Level Profile wieder. Das High-Profil von H.264 kann das iPhone 4 auch immer noch nicht. Schon rein aus Gründen, den Prozessor nicht zu doll zu beschäftigen und die Akku-Kapazität in den Keller zu fahren, ist da bisher hardwaretechnisch einfach noch kein Raum, um H.264 auch in einem der 3 High-Profile wiederzugeben. Würde viel zuviel Rechenkapazität und Akku-Leistung verbraten.
Nicht umsonst springen bei Flash-Video-Gedöns, was meistens ein in Flash gekapseltes H.264-Video ist, auf nahezu jeder Plattform die Lüfter an: weil da gleich zwei CPU- und Stromfresser zusamnmenkommen: H.264 trifft auf ein löchriges und speicherleckendes, jahrelang nicht ausgeräumtes Flash-Drumherum. Jedes der beiden und jedes auf seine ganz eigene Art und Weise, zieht enorm Kapazitäten bzgl. CPU und Akku...
Schon allein aus dem Grund ist es im Moment angeraten und ein technischer Kompromiss, eben maximal das Main-Profile und bisher mehrheitlich das Basline-Profile fest zu verdrahten und zu ermöglichen auf den Smartphones. Sonst wäre die CPU im Nu heiß und der Akku ratzfatz leer, wenn man mehr zuließe.
Gleiches auch bzgl. iPad.

Wenn Du nicht glaubst, dass da nur das Baseline-Profil bis einschließlich iPhone3 und nur das Main-Profil im Fall des iPhone4 von Apple möglich gemacht ist, dann geh' auf Apples iPhone-Seite und lies Dir die technischen Daten dort durch.

Apple - iPhone - Technische Daten des iPhone 4 :
Apple - iPhone - Technische Daten des iPhone 3GS :
Apple - iPad - Technische Daten für das iPad (2) :

Überhaupt dürfte es da draußen kaum ein Smartphone oder Tablet geben, das H.264 über das Main-Profil hinaus wiedergeben kann. Bestenfalls Main-Profil und sehr oft und verbreitet eben lediglich: Baseline-Qualität.

Das stellt auch niemand in Abrede, auch Fefe nicht. Es ist nur so, dass sich VP8/WebM qualitativ eben durchaus sehr gut bis hervorragend mit eben diesem gerade bei den Smartphones verbreitetem Baseline- und eben bestenfalls aber weniger auf dem Smartphones verbreiteten Main-Profil messen lassen und daneben sehr gut bzw. gleichwertig und überzeugend als Alternative bestehen kann. Bei messbar und nachvollziehbar geringerem Ressourcenverbrauch.

Wer also immer meint, es würde nicht an das High-Profil von H.264 ranreichen, der baut eh potemkische Dörfer auf und hantiert mit einem Strohmann-Argument, weil gerade auf dem derzeit so interessanten und wachsenden Mobil- und Smartphone-Markt das von den H.264-Befürwortern imemr in die Diskussion gebrachte High-Profil aus Ressourcengründen auf diesem Geräten bisher gar nicht zum Einsatz kommt bzw. gar nicht implementiert ist, sondern bestenfalls (bestenfalls!) das Main-Profil.

Und VP8 ist von On2 damals u.a. mit der maßgabe entwickelt worden, ganz generell ressourcenschonender als H.264 zu sein, und das ist es auch.

Interessant wären deshalb z.B. mal folgende Vergleiche: ein in Flash gekapseltes VP8-codiertes Video angetreten gegen ein in Flash gekapseltes H.264-Video. Beides einmal auf niedrigem Qualitätsniveau und einmal auf möglichst hohen Qualitätsniveau (Profil) wiedergegeben. Ich bin der festen Überzeugung: Das Flash-Video mit dem VP8-codierten Video (welches sich innerhalb des zurückliegenden Jahres qualitativ enorm verbessert hat, weil es derzeit ganz heftig weiter verbessert wird) verbraucht weniger Strom und belastet die CPU weniger als ein entsprechendes Pendant H.264-codiert.

Wie ich bereits sagte: ab iPhone 4. Und wieviele iPhones der Generation 1, 2 und 3 gibt's da draußen noch, die in Verwendung sind? Und wieviele Smartphones und Tablets anderer Hersteller da draußen gibt es, die aus genau denselben Gründen noch nichtmal das Main-Profil unterstützen, sondern eben lediglich das Baseline-Profil? Dürften eine ganze Menge sein oder sogar die Majoriät bilden.

Von daher hat Fefe recht, da ist eine ganze Menge Scheinheiligkeit und nicht gerade ehrliche Argumentation dahinter, wenn der Wert und die Qualität und die Verbreitung von H.264 von einigen Hardlinern so betont wird gegen die Herausforderer wie Ogg Theora oder auch jetzt VP8/WebM.

Aber das ist eine ganz andere Debatte und hier jetzt wirklich OT. Wir sollten das hier jetzt nicht vertiefen.

ältere iphone / ipod und ipad geräte brauchen keine updates - diese gehören auch gegen neue ausgetauscht, nur so ist der user sicher!!