"Month of Apple Bugs" angekündigt

[P.Stylez]

Nachdem der Month of Browser Bugs (MoBB) und der Month of Kernel Bugs (MoKB) in diesem Jahr viel Aufmerksamkeit erregt haben, kündigt der Sicherheitsexperte mit dem Pseudonym LMH jetzt einen "Month of Apple Bugs" (MoAB) für den Januar 2007 an. Zusammen mit Kevin Finisterre, der in der Vergangenheit schon Exploits für gestopfte Sicherheitslücken in Mac OS X veröffentlichte und mehrere Schwachstellen an Apple gemeldet hat, will er jeden Tag im Januar eine Sicherheitslücke in Apple-Produkten bekanntmachen.

Quelle: http://www.heise.de/security/news/meldung/82850

Da bin ich gespannt, was kommt

Im Endeffekt kann's nur helfen das System sicherer zu machen... obwohl erstmal abzuwarten ist, wie viele wirklich kritische Bugs dabei rumkommen.

 

[Felix Rieseberg]

Na, das wird bestimmt großartig. Letztendlich ist kein System sicher, auch Apple nicht. Und Linux auch nicht. Es bleibt der Faktor Mensch, der immer Fehler macht.

Es gibt nur "nicht so unsicher", wirklich "sicher" halte ich für unmöglich. Und für die meisten von uns wird die gegen 0 gehende Virenanzahl für OS X sprechen.

 

[P.Stylez]

Natürlich ist das OS X auch nicht 100%ig sicher

Nur bin ich halt mal gespannt, ob was wirklich brandgefährliches dabei rumkommt oder ob's wieder mal nur ein Sturm im Wasserglas ist, weil wieder irgendwelche Buffer- oder Heap-Overflows gefunden wurden, mit denen man unter bestimmten Voraussetzungen zu root-Rechten gelangen KÖNNTE, was dann ABER NUR funktioniert, wenn man als lokaler Benutzer eingeloggt ist und nicht als Remoteuser.

Naja, aber wie gesagt - im Prinzip kann's nur helfen das System zu verbessern

 

[ismail]

habe den artikel hier grade auf heise gefunden und wollte keinen neuen thread aufmachen (passt thematisch so einigermaßen):

Anfängerfehler in Mac OS X

Setuid-Programme sind auf Unix-Systemen ein Standardmechanismus, um bestimmte Aktivitäten mit anderen Rechten als denen des angemeldeten Benutzers auszuführen, der seit über zwanzig Jahren zum Einsatz kommt. Genauso lange ist bekannt, dass dies ein Sicherheitsrisiko darstellt und welche minimalen Sicherheitsvorkehrungen man dabei zu treffen hat. Dies scheint sich jedoch noch nicht zu den Entwicklern von Mac OS X herumgesprochen zu haben. So verwenden die Systemeinstellungen das Hilfsprogramm writeconfig, das als Setuid-Root-Programm immer mit den Rechten des Administrators läuft. Dies ruft unter anderem das Shell-Skript /sbin/service auf, welches wiederum launchctl startet. Dabei werden gleich mehrere elementare und altbekannte Sicherheitsregeln außer Acht gelassen:

...

witer gehts hier: http://www.heise.de/newsticker/meldung/84047

 

[ismail]

weiter gehts...

Schwachstelle im Speicher-Subsystem von Mac OS X

Der brasilianische Sicherheitsspezialist Adriano Lima von Rise Security hat einen Bericht über eine Schwachstelle des Shared-Memory-Server-Subsystems unter Mac OS X 10.4.8 veröffentlicht. Über das Subsystem können Anwendungen im Kernel-Land und Userland Programmcode und Daten teilen. Allerdings führt die unzureichende Prüfung der Größe eines Puffers beim Aufruf der Funktion shared_region_map_file_np mit einem sehr großen mapping_count-Parameter zu einer Speicherverletzung. Lima hat seinem Advisory einen Proof-of-Concept-Codeschnipsel beigefügt, der beim Test in der heise-Security-Redaktion einen Mac Mini (Intel) zum Stillstand brachte.
...

weiter im text gehts hier: http://www.heise.de/newsticker/meldung/84069

 

[Syncron]

Hat jemand Lust einen objektiven Überblick über MOAB zugeben? Und wenn ja, dann bitte in verständlichen deutsch.

Seit MOAB habe ich einiges im Umgang mit dem Mac geändert. So bin ich z.B. nur noch als normaler User unterwegs...