Feature XARA: Apple soll schwerwiegende Sicherheitslücke in OS X und iOS seit Monaten bekannt sein

[eerie]

Ja, die waren hier im thread auch schon irgendwo verlinkt.

Ich hab hier im Thread nur die Links von Fedelix gefunden (#75).
Diese Links besagen aber alle irgendwie das Gegenteil von Deiner Behauptung.

Der wesentliche Unterschied ist aber die "Eingangskontrolle" von Apple durch den App Store Zwang ....

Hat wenig mit der Anzahl der kritischen Lücken im OS selbst zu tun von denen Du ja behauptest dass OSX weniger hat als andere gängige Betriebssysteme.

 

[Scotch]

Ich hab hier im Thread nur die Links von Fedelix gefunden (#75).
Diese Links besagen aber alle irgendwie das Gegenteil von Deiner Behauptung.

Dann nehmen wir doch mal den ersten Link aus #75 (die zitieren eh' alle die gleiche Studie aus 2014):

OS X (alle Versionen): 147
Windows (alle Versionen ohne RT): 218

Bitte erläutere, inwiefern das dass Gegenteil meiner Behauptung darstellt.

 

[eerie]

Dann nehmen wir doch mal den ersten Link aus #75 (die zitieren eh' alle die gleiche Studie aus 2014):

OS X (alle Versionen): 147
Windows (alle Versionen ohne RT): 218

Bitte erläutere, inwiefern das dass Gegenteil meiner Behauptung darstellt.

Es werden hier die einzigartigen Fehler aufgelistet.

OSX
147 total vulnerabilities / 64 high severity / 67 medium severity / 16 low severity

Du hast nun die Fehler aller Windows Versionen auch summiert (obwohl ich nicht weiß ob man die Server OS mit den Desktop OS verbinden sollte).
Scheint auf anhieb ja nur korrekt zu sein da bei OSX ja auch alle Fehler addiert werden.

Was Du aber nicht berücksichtigst - und in einem Update-Statement auf der Seite steht die diese Statistik rausgebracht hat - ist dass viele Fehler bei Windows dieselben sind. Also keine einzigartigen/unique Fehler.

Die Seite hat dann auch nach einzigartigen Fehlern für Windows ohne Versionsangabe wie zB Win8, WinRT, Server 2008 usw. gesucht und kam zu folgendem Ergebnis:

Windows
68 total vulnerabilities / 47 high severity / 20 medium severity / 1 low severity

Diese Gesamtanzahl der eindeutigen Windows Fehler (auch wenn Server mit Desktop und RT in einem Topf ist) kann man nun auch mit der Gesamtanzahl aller eindeutigen OSX Fehler vergleichen.

 

[rootie]

Auszug aus MacRumors:

Update: Apple on Friday provided iMore with the following statement regarding the XARA exploits:
Earlier this week we implemented a server-side app security update that secures app data and blocks apps with sandbox configuration issues from the Mac App Store," an Apple spokesperson told iMore. "We have additional fixes in progress and are working with the researchers to investigate the claims in their paper."

Apple arbeitet also mit Hochdruck dran, den Fehler zu korrigieren. Und wenn man dem zugrunde liegenden iMore-Artikel Glauben schenken darf, hatte Apple damals um 6 Monate Zeit gebeten. In dieser Zeit hatte Apple einige Updates gebracht, die das Problem leider nicht vollständig gelöst haben. Unverständlicherweise haben die Entdecker den Exploit unabhängig davon nach genau diesen 6 Monaten öffentlich gemacht. Und wenn DAS stimmt, ist das einfach nur eine Sauerei!

 

[beeker2.0]

Auszug aus MacRumors:

Update: Apple on Friday provided iMore with the following statement regarding the XARA exploits:
Earlier this week we implemented a server-side app security update that secures app data and blocks apps with sandbox configuration issues from the Mac App Store," an Apple spokesperson told iMore. "We have additional fixes in progress and are working with the researchers to investigate the claims in their paper."

Apple arbeitet also mit Hochdruck dran, den Fehler zu korrigieren. Und wenn man dem zugrunde liegenden iMore-Artikel Glauben schenken darf, hatte Apple damals um 6 Monate Zeit gebeten. In dieser Zeit hatte Apple einige Updates gebracht, die das Problem leider nicht vollständig gelöst haben. Unverständlicherweise haben die Entdecker den Exploit unabhängig davon nach genau diesen 6 Monaten öffentlich gemacht. Und wenn DAS stimmt, ist das einfach nur eine Sauerei!

Ja, das wäre eine Sauerei, weil einfach nur Egoismus-getriebenes Selbstmarketing oder Wichtigtuerei.

 

[Farafan]

Und wenn DAS stimmt, ist das einfach nur eine Sauerei!

Warum?
Einmal Held für einen Tag. Und eine solche Veröffentlichung kann ein echter Karriereschub sein.

 

[beeker2.0]

Warum?
Einmal Held für einen Tag. Und eine solche Veröffentlichung kann ein echter Karriereschub sein.

Das könnte der Zweck gewesen sein.

 

[rootie]

Zu glauben man würde einen Karriereschub erfahren, indem man einen Weltkonzern wie Apple nötigt, kann auch ganz schnell nach hinten losgehen

Ich bin guter Dinge, dass wir bald mit einem Fix rechnen können. Und dann sollte sich Apple wieder darauf besinnen, ein stabiles und sicheres OS anzubieten. Dass OS X gegen Windows verliert, ist bedauerlich und wohl der gestiegenen Komplexität geschuldet. Mal schauen wie es hier weiter geht.

 

[Scotch]

Was Du aber nicht berücksichtigst - und in einem Update-Statement auf der Seite steht die diese Statistik rausgebracht hat - ist dass viele Fehler bei Windows dieselben sind. Also keine einzigartigen/unique Fehler.

Und bei den aufsummierten Fehlern aller OS X Versionen ist das nicht der Fall? Diese Einschätzung beruht dann worauf? Quelle?

 

[Martin Wendel]

Und wenn man dem zugrunde liegenden iMore-Artikel Glauben schenken darf, hatte Apple damals um 6 Monate Zeit gebeten. In dieser Zeit hatte Apple einige Updates gebracht, die das Problem leider nicht vollständig gelöst haben. Unverständlicherweise haben die Entdecker den Exploit unabhängig davon nach genau diesen 6 Monaten öffentlich gemacht. Und wenn DAS stimmt, ist das einfach nur eine Sauerei!

Also du übertreibst ein wenig. Apple weiß seit Oktober 2014 über die Lücke bescheid und hat um sechs Monate gebeten. Seit Oktober sind, wie wir wissen, aber nicht sechs Monate sondern neun Monate vergangen. Und Apple hat nicht einige Updates gebracht, die das Problem nicht vollständig lösen. Apple hat bisher offenbar gar kein oder fast gar kein Update dafür gebracht. Und dass mit Hochdruck daran gearbeitet wird, entnehme ich dem Kommentar von Apple auch nicht (natürlich ist es möglich, aber welche Priorität das Problem hat oder bis wann mit einem endgültigen Fix zu rechnen ist wird mit keinem Wort erwähnt).

 

[rootie]

Ja 9 Monate sind in der Tat viel. Und jetzt wo es öffentlich ist denke ich, dass sie mit maximaler Performance arbeiten (müssen). Und wenn sie Leute von woanders abziehen. Ich bleibe trotzdem dabei: Die Major Apps sehe ich in der Hinsicht als vertrauenswürdig an. Und was anderes habe ich eigentlich nicht drauf.

 

[Martin Wendel]

Und jetzt wo es öffentlich ist denke ich, dass sie mit maximaler Performance arbeiten (müssen).

Ja, sollten sie. Das hätten sie aber auch schon seit Oktober machen können.

 

[rootie]

Ja das ist halt die Frage ob sie das gemacht haben. So wie es aussieht wohl nicht, aber gewiss weiß man es nicht. Ich arbeite auch für ein Software-Unternehmen und ich weiß wie lange es oftmals dauern kann, bis man ein Problem endlich gefixt hat.

 

[Martin Wendel]

Wenn man jährlich ein neues Betriebssystem herausbringt, kann man mir nicht erklären, dass man in 9 Monaten nicht auch ein Problem darin beheben kann.

 

[rootie]

Ja es stimmt schon! Allein das Verständnis fehlt mir. Ich mein das muss Apple doch klar sein, dass es kontraproduktiv für den Ruf ist, wenn man solche Sachen so lang rauszögert...

 

[BlackRa1n]

Eventuell liegt es ja auch daran, dass es nicht so leicht ist diesen Fehler zu fixen. Vielleicht würde man damit einen Teil des OS komplett umstrukturieren müssen. Eventuell sind Apples Können Grenzen aufgesetzt.

Ist sicherlich nur eine nicht belegbare Theorie. Aber ich weiß nicht, ob ich glauben soll, dass Apple 6 Monate einfach nur zuguckt.

 

[marcozingel]

Und warum betrifft es dann gleich OS X und iOS ?
Merkwürdig aber ich bin Unix Laie.

 

[rootie]

Weil OS X und iOS dasselbe Basissystem nutzen.

 

[marcozingel]

Von meinem Denken her müßte Apple ja dann gleich 2 mal den gleichen Programmierfehler begangen haben oder liege ich da falsch.

 

[rootie]

Nein. So ein "Framework" wird einmal programmiert und kann dann entsprechend wiederverwendet werden. Wenn die alles doppelt programmieren müssten, würden die niemals mit irgendwas fertig werden.