News Apple schließt Sicherheitslücke auch unter OS X

Hab noch iOS5 laufen, sofern es nur im WLAN theoretische Unsicherheiten gibt, bleibt ich da mal gelassen.^^
 
Es wäre vlt. der Situation angemessen zu erwähnen, dass die betroffene Komponente Open-Source ist:
http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c

Das steht auch direkt so in der Quelle. Wenn man so einen Artikel verfasst, dann bitte auch relevante Informationen in den Artikel einbauen, das wäre der Qualität sehr dienlich -und beugt auch etwaigen "bla... mit Android/Linux wäre das nicht passiert, weil open source,... blubb" vor.

@CB: Bitte nicht falsch verstehen, aber imho solltet ihr dringend an der Qualität eurer News arbeiten. Das gleichen auch die sehr hochwertigen Artikel nicht aus, zumindest da sich CB ja auch als News-Plattform versteht. Just my 2 Cents...
 
HighTech-Freak schrieb:
dass die betroffene Komponente Open-Source ist

Sehr interessant,
wie ist man denn darauf aufmerksam geworden? Durch die community?
Das würde den positiven Effekt von open Source ja bestätigen.
 
Wer mit Chrome oder Firefox surft, ist im Übrigen nicht betroffen, da diese nicht auf die entsprechende Systembibliothek zugreifen.
 
HighTech-Freak schrieb:
Es wäre vlt. der Situation angemessen zu erwähnen, dass die betroffene Komponente Open-Source ist:
http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c

Das steht auch direkt so in der Quelle. Wenn man so einen Artikel verfasst, dann bitte auch relevante Informationen in den Artikel einbauen, das wäre der Qualität sehr dienlich -und beugt auch etwaigen "bla... mit Android/Linux wäre das nicht passiert, weil open source,... blubb" vor.
In jeden Artikel soll also die völlig irrelevante Information eingebaut werden, dass auch in anderer Software Sicherheitslücken auftreten können? Geht's noch? Jede Software enthält Bugs = wahre Aussage.

Dumme Kommentare sind durch so einen Standard-Disclaimer auch nicht zu verhindern.
 
HighTech-Freak schrieb:
Es wäre vlt. der Situation angemessen zu erwähnen, dass die betroffene Komponente Open-Source ist:
http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c

Das steht auch direkt so in der Quelle. Wenn man so einen Artikel verfasst, dann bitte auch relevante Informationen in den Artikel einbauen, das wäre der Qualität sehr dienlich -und beugt auch etwaigen "bla... mit Android/Linux wäre das nicht passiert, weil open source,... blubb" vor.
...

Du haust da mehrere Sachen in einen Topf.


Es ist schon ein erheblicher Unterschied ob Firmen wie Apple/Google Qulltext schreiben, intern reviewn und am Schluss veröffentlichen (meist weil sie es aufgrund div. Lizenzbestimmungen müssen) und die Community kaum/nicht eingebunden ist.

ODER

Ob die Community zusammen aktiv etwas entwickelt, zusammen schreibt und sich gegenseitig auf die Finger schaut mit dem großem Ziel das Ergebnis weiter zu verbessern. Plus das Entwickler fähiger und großer Firmen zusätzlich ein Auge auf kritische Bereiche haben.


Daher OpenSource ist kein Allheilmittel, aber die verschiedenen Entwicklungsmodelle von verschiedener OpenSource Software sollte man schon beachten bevor man alles in einen Topf hat ;). Vor allem da die Leute die unentgeltlich für Apple Code analysieren um am Schluss ein geschlossenes, nicht freies System in der Hand zu halten doch sehr sehr klein ist.


edit:

Quelle:
http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c

Fehler: das doppelt untereinanderstehende "goto fail;" (soweit ich es verstehe :D)

Code:
	hashOut.data = hashes + SSL_MD5_DIGEST_LEN;
    hashOut.length = SSL_SHA1_DIGEST_LEN;
    if ((err = SSLFreeBuffer(&hashCtx)) != 0)
        goto fail;

    if ((err = ReadyHash(&SSLHashSHA1, &hashCtx)) != 0)
        goto fail;
    if ((err = SSLHashSHA1.update(&hashCtx, &clientRandom)) != 0)
        goto fail;
    if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
        goto fail;
    if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
        goto fail;
        goto fail;
    if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
        goto fail;

	err = sslRawVerify(ctx,
                       ctx->peerPubKey,
                       dataToSign,				/* plaintext */
                       dataToSignLen,			/* plaintext length */
                       signature,
                       signatureLen);
 
Zuletzt bearbeitet:
Das Phänomen tritt im Übrigen "nur" (nicht dass es das weniger schlimm macht) bei IPs und nicht bei Domain-Namen auf.

Man kann das übrigens live testen, versucht mal ein curl auf "https://173.194.70.94.xip.io" (bricht ab und gibt die entsprechende Fehlermeldung), curl auf "https://173.194.70.94" gibt hingegen brav alles ohne Warnung aus :D
 
Artikel-Update: Mit dem von Apple am Dienstagabend veröffentlichten Update auf OS X 10.9.2 wird die kritische Sicherheitslücke nun auch unter OS X 10.9 „Mavericks“ geschlossen. Das mobile Betriebssystem iOS wurde bereits vor drei Tagen mit Updates auf die Versionen 7.0.6 respektive 6.1.6 versorgt. Anwender sind dazu angeraten, betroffene Systeme schnellstmöglich mit den jetzt allumfassend verfügbaren Updates zu versorgen.

Zu den weiteren Neuerungen, die das Update auf OS X 10.9.2 mit sich bringt, gehören die Möglichkeit, über Facetime reine Audioverbindungen ohne Video aufzubauen und den Empfang von Nachrichten von bestimmten Absendern über iMessage zu unterdrücken.
[Bilder: Zum Betrachten bitte den Artikel aufrufen.]
Das Update kann unter OS X 10.9 über die Update-Sektion im Apple App Store herunter geladen werden und wiegt auf einem MacBook Pro 15 Zoll Retina (2012) 460 Megabyte.
 
Das "Gewicht" von 460MB gilt nur für manche Mac (z.B. 2012er MacBookAir). Für einen iMac "late 2013" sind es z.B. 769MB. Das Combo-Update liegt bei 870MB...
 
ich habe noch nix bei euch gelesen, ob auch frühere OSX Versionen betroffen seien. es wird nur schwammig geschrieben: "… offenbar mit 10.9 eingeführt …". wie schaust denn nun mit älteren Versionen von OSX aus? 10.9 kann manche Sachen ja nicht mehr und ist somit in gewissen Bereichen nicht einsetzbar. daher läuft bei vielen noch 10.7.x oder 10.8.x! könnt ihr dem "offenbar" bitte nachgehen?
 
Die Vermutung geht bisher dahin, dass Apple Teile von iOS und MaxOS zusammengeführt hat und das beim Merge der entsprechenden Quelltextdateien etwas schiefgelaufen ist, sodass dieses doppelte "goto fail" zustande kam.

Der besagte, spezifische Fehler ist in vorhergehenden Quelltextversionen nicht vorhanden.


Es gibt jedoch durchaus die Möglichkeit, dass vorhergehende Versionen des Quelltextes und damit der daraus abgeleiteten Programme Fehler enthalten können, die bisher nicht bekannt sind. Insofern sind viele Artikel mit meist etwas wage formuliert.
 
Laberlohe schrieb:
Das "Gewicht" von 460MB gilt nur für manche Mac (z.B. 2012er MacBookAir). Für einen iMac "late 2013" sind es z.B. 769MB. Das Combo-Update liegt bei 870MB...

Bei meinem MBP Retina 13" late 2013 sinds auch 769 MB
 
Sieht auf jeden Fall so aus als hätte Apple mit der Trennung von iOS und OSX einen schwerwiegenden architektonischen Bock geschossen.
 
Habe das update installiert. Waren 460mb für retina 2012. Aber: hat noch jemand das Problem dass das komplette Internet, trotz aktiver und funktionierender WLAN Verbindung, nicht mehr geht, oder ist das jetzt Zufall bei mir?
 
Zurück
Oben