Lecker, ein paar davon sind jeweils gut geeignet dem surfenden Maccie einen Trojaner unterzujubeln.

Waren geeignet!!

Wie viel Zeit lag denn zwischen der letzten iTunes 8.1.x und der 8.2 Version? Das Update kommt doch lediglich jetzt wegen iPhone OS 3.0, sonst hätten wir die Loöcher noch länger. Bugs von diesem Kaliber werden von Microsoft und Adobe in Form eines Hotfix repariert. Nur bei Apple wartet man bis einen 'schönen' Grund für ein Update gibt und macht die lästigen Security Fixes dann mit.

scheinbar auch neu mit iTunes und iPhone/Touch

@Garp
Sonst müsste man ja zugeben, dass es sie gibt Auf diese Weise kann man das wunderbar in den "ausführlichen" Update-Beschreibungen verschwinden lassen

schön dass man sich noch mit dem thema sicherheit beschäftigt.

Ah noch eine Frage wer nutzt den quicktime? ich glaube ich habe es nur einmal in meiner ganzen MacNutzung geöffnet.
Meinstens sind flip4mac and vlc aktiv


na aber wann werden die JAVA sicherheitslücken geschlossen.

Na QuickTime nutze ich jeden Tag!
Entweder der Player selber oder durch iTunes, durch die Vorschau, durch den Finder.. Greift alles auf QuickTime zu

QuickTime ein großer Bestandteil von OSX

Na wenn das vom Datum her nicht nach OS 3.0, 1 Tag nach der WWDC riecht

Garp2000

Ein Trojaner ist etwas ganz anderes und hat nix mit den Buffer-Overflow Schwächen zu tun, die mit dem Update geschlossen wurden.
Auch ist es mit nichten so - wie hier immer in "gut informierten Kreisen" gejammert wird - dass ein möglicher Buffer Overflow direkt bedeutet dass es möglich ist irgendwelche Programmanweisungen auszuführen. Es handelt sich dabei nämlich immer nur um eine theoretische Möglichkeit. Zuallererst einmal wird durch so einen Buffer-Overflow einfach nur der Inhalt des Arbeitsspeichers geändert. Dies kann dazu führen, dass die betroffenen Anwendung direkt abstürzt. Es kann dazu führen dass einfach gar nix passiert, da der Speicherbereich von der betreffenden Anwendung zwar allokiert wurde aber (noch) nicht verwendet wird (dies ist wohl der warscheinlichste Fall). Und es kann natürlich auch passieren, dass die geänderten Daten als Programmanweisungen ausgeführt werden und - sofern Sinnvoll - dann auch etwas unerwartetes/böses passiert. Dazu müssen aber schon mehrere Zufälle gleichzeitig eintreten. Daher ist dass die unwarscheinlichste Option.

Tja einfach nicht auf manipulierte Webseiten klicken und alles ist easy. Hatte noch nie Probleme.

ExMacRabbitPro Klar alles ist sicher, Buffer Overflow nur kosmetisches Problem. Alu-Hut oder -MacBook aufsetzen und gut is'. Duck-and-cover lalala.

Ansonsten mal die Beschreibung des ITMS Handler Bugs lesen.

Quickmix Genau oder auf keine Maillinks klicken. Dumm nur wenn ein Trojaner über ein Werbenetz auf eine scheinbar vertrauenswürdige Seite kommt. Das ist sogar schon heise.de passiert.

Aber der Alu-Hut hilft in jedem Fall.

Garp2000:

Zustimmung.

ExMacRabbitPro,
Quickmix:

Zum Zusammenhang bzgl. Buffer Overflow-Lücken und Trojaner: Erstmal haben die nix miteinander zu tun. Erst wenn man weiß, wozu alles eine solche Buffer Overflow-Lücke ausgenutzt werden kann (und in der Praxis eben leider auch wird!), nämlich Dir u.a. auf diese Weise unbemerkt Schadcode unterzujubeln (z.B. eben auch einen Trojaner oder auch ein anderes Schadprogramm, oder einen anderen Türöffner, der dann wiederum einen anderen Türöffner oder ein anderes Schadprogramm nachlädt, etabliert und sich dann ggf. sogar nach getaner Arbeit selber wieder löscht -- da ist vieles denkbar und vieles auch in praktischer Anwendung), dann bekommt das Ganze schon einen anderen Stellenwert.

... besser ein Helm auf dem Kopf als ein Brett vorm Kopf!

ExMacRabbitPro:

Du wartest also lieber gerne darauf, bis auch bei Dir persönlich was passiert ist, um dann erst langsam den Alu-Hut vom Kopf zu nehmen, weil er Dir offensichtlich nicht viel gebracht hat...

Dazu fällt mir irgendwie folgender Spruch von Ludwig Marcuse ein:

"Ein Friedlicher ist einer, der sich totschießen lässt, um zu beweisen, dass der andere ein Aggressor gewesen ist."

Garp2000: Hotfixes bei Adobe? Ist mir neu. Auf die meisten Fixes muss man bis zu nächsten Version warten und dann bezahlen. Einzig beim Adobe Reader sind die relativ schnell.

@Tekl:

Full ACK... Wobei der Reader sowas von aufgebläht und "buggy" ist, dass es eine Schande ist.

Apple, Adobe und Microsoft sind ALLE z.T. sehr nachässig, wenn es um Patches geht.

Ich will Apple auf gar keinen Fall schön reden, aber es ist nicht NUR Apple, welche so mit bekannten Lücken umgehen.

Ich mag mich an einen "Zero Day" Expolit für Windows erinnern, welcher Wochenlang (oder zumindest eine gefühlte Ewigkeit) nicht gepatched wurde und Admins fixes von Drittherstellern einspielten. Wenn ich mich recht erinnere war da was mit WMF Files, welche schon sehr aktiv zum Ausführen von Code verwendet wurden.

Cheers, Uhu

uhu:

Und was ist dein Versuch sonst?
Bitte nicht immer an denen orientieren, die gleich schlecht oder noch schlechter sind, sondern zur Abwechslung mal an denen, die es besser machen. Das ist ja ansonsten wie in der Schule, wo das eigene Kind, wenn es mit einer Note 5 nach Hause kommt, zu relativieren versucht, dass es doch auch noch viele andere Fünfen bei der Klassenarbeit gegeben habe und sogar ein paar Sechser, die doch noch viel schlechter seien als man selbst.
Gegenfrage dabei: Ja, und wieviele Einser, Zweier und Dreier hat es gegeben...?

Abgesehen davon: Apple WIRBT u.a. damit (und das teilweise doch recht deutlich und aggressiv) BESSER zu sein als die Konkurrenz, besonders die Windows-Konkurrenz -- gerade auch im Hinblick auf Sicherheit bzw. wie ernst man das Thema Sicherheit doch nehme im Gegensatz zum großen Konkurrenten aus Redmond...

Zwischen theoretischen und lauten marketingtechnischen Absichtserklärungen und dem tatsächlich TUN und DURCHFÜHREN in der Praxis ist halt doch manchmal ein Unterschied...

uhu

Microsoft ist in puncto Sicherheitsmanagement Lichtjahre vor Apple. Bei MS gibt wenigstens Security Advisories und da werden Lücken auch nicht ignoriert und totgeschwiegen. Auch scheint mir das neue Entwicklungsmodell, welches die Sicherheit während der kompletten Entwicklungsphase immer im sehr wichtig macht und mit Vista eingeführt wurde, sehr zu fruchten. Der WMP hat im Vergleich zu Quicktime gefühlt kaum Lücken

Das ist interessant! Bei mir auch!
Für bisherige iPhones und iPods mit aktueller Firmware bringt das natürlich herzlich wenig, denn ich kann ja mit der alten iTunes Version das Gerät auch ohne Passworteingabe syncen.

Aber Firmware 3.0 ich hör Dir trapsen....


Vielleicht kann man ja mit der Firmware 3.0 das Gerät so schützen, dass man an die Daten wirklich nur mit Passwort ran kommt?
Das bisherige Passwort ist ja kein echter Schutz....

Nachtrag: das Passwort wird offenbar nur beim ersten Start von iTunes verlangt.