ComputerBase Menü
Aktuelles

News Apple schließt Sicherheitslücke auch unter OS X

Hab noch iOS5 laufen, sofern es nur im WLAN theoretische Unsicherheiten gibt, bleibt ich da mal gelassen.^^
 
wurde eingeführt mit 10.9 ... it's not a bug, it's a feature.
 
Es wäre vlt. der Situation angemessen zu erwähnen, dass die betroffene Komponente Open-Source ist:
http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c

Das steht auch direkt so in der Quelle. Wenn man so einen Artikel verfasst, dann bitte auch relevante Informationen in den Artikel einbauen, das wäre der Qualität sehr dienlich -und beugt auch etwaigen "bla... mit Android/Linux wäre das nicht passiert, weil open source,... blubb" vor.

@CB: Bitte nicht falsch verstehen, aber imho solltet ihr dringend an der Qualität eurer News arbeiten. Das gleichen auch die sehr hochwertigen Artikel nicht aus, zumindest da sich CB ja auch als News-Plattform versteht. Just my 2 Cents...
 
HighTech-Freak schrieb:
dass die betroffene Komponente Open-Source ist
Zum Vergrößern anklicken....

Sehr interessant,
wie ist man denn darauf aufmerksam geworden? Durch die community?
Das würde den positiven Effekt von open Source ja bestätigen.
 
Wer mit Chrome oder Firefox surft, ist im Übrigen nicht betroffen, da diese nicht auf die entsprechende Systembibliothek zugreifen.
 
HighTech-Freak schrieb:
Es wäre vlt. der Situation angemessen zu erwähnen, dass die betroffene Komponente Open-Source ist:
http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c

Das steht auch direkt so in der Quelle. Wenn man so einen Artikel verfasst, dann bitte auch relevante Informationen in den Artikel einbauen, das wäre der Qualität sehr dienlich -und beugt auch etwaigen "bla... mit Android/Linux wäre das nicht passiert, weil open source,... blubb" vor.
Zum Vergrößern anklicken....
In jeden Artikel soll also die völlig irrelevante Information eingebaut werden, dass auch in anderer Software Sicherheitslücken auftreten können? Geht's noch? Jede Software enthält Bugs = wahre Aussage.

Dumme Kommentare sind durch so einen Standard-Disclaimer auch nicht zu verhindern.
 
HighTech-Freak schrieb:
Es wäre vlt. der Situation angemessen zu erwähnen, dass die betroffene Komponente Open-Source ist:
http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c

Das steht auch direkt so in der Quelle. Wenn man so einen Artikel verfasst, dann bitte auch relevante Informationen in den Artikel einbauen, das wäre der Qualität sehr dienlich -und beugt auch etwaigen "bla... mit Android/Linux wäre das nicht passiert, weil open source,... blubb" vor.
...
Zum Vergrößern anklicken....

Du haust da mehrere Sachen in einen Topf.


Es ist schon ein erheblicher Unterschied ob Firmen wie Apple/Google Qulltext schreiben, intern reviewn und am Schluss veröffentlichen (meist weil sie es aufgrund div. Lizenzbestimmungen müssen) und die Community kaum/nicht eingebunden ist.

ODER

Ob die Community zusammen aktiv etwas entwickelt, zusammen schreibt und sich gegenseitig auf die Finger schaut mit dem großem Ziel das Ergebnis weiter zu verbessern. Plus das Entwickler fähiger und großer Firmen zusätzlich ein Auge auf kritische Bereiche haben.


Daher OpenSource ist kein Allheilmittel, aber die verschiedenen Entwicklungsmodelle von verschiedener OpenSource Software sollte man schon beachten bevor man alles in einen Topf hat ;). Vor allem da die Leute die unentgeltlich für Apple Code analysieren um am Schluss ein geschlossenes, nicht freies System in der Hand zu halten doch sehr sehr klein ist.


edit:

Quelle:
http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c

Fehler: das doppelt untereinanderstehende "goto fail;" (soweit ich es verstehe :D)

Code: 
	hashOut.data = hashes + SSL_MD5_DIGEST_LEN;
    hashOut.length = SSL_SHA1_DIGEST_LEN;
    if ((err = SSLFreeBuffer(&hashCtx)) != 0)
        goto fail;

    if ((err = ReadyHash(&SSLHashSHA1, &hashCtx)) != 0)
        goto fail;
    if ((err = SSLHashSHA1.update(&hashCtx, &clientRandom)) != 0)
        goto fail;
    if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
        goto fail;
    if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
        goto fail;
        goto fail;
    if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
        goto fail;

	err = sslRawVerify(ctx,
                       ctx->peerPubKey,
                       dataToSign,				/* plaintext */
                       dataToSignLen,			/* plaintext length */
                       signature,
                       signatureLen);
 
Zuletzt bearbeitet:
Das Phänomen tritt im Übrigen "nur" (nicht dass es das weniger schlimm macht) bei IPs und nicht bei Domain-Namen auf.

Man kann das übrigens live testen, versucht mal ein curl auf "https://173.194.70.94.xip.io" (bricht ab und gibt die entsprechende Fehlermeldung), curl auf "https://173.194.70.94" gibt hingegen brav alles ohne Warnung aus :D
 
Artikel-Update: Mit dem von Apple am Dienstagabend veröffentlichten Update auf OS X 10.9.2 wird die kritische Sicherheitslücke nun auch unter OS X 10.9 „Mavericks“ geschlossen. Das mobile Betriebssystem iOS wurde bereits vor drei Tagen mit Updates auf die Versionen 7.0.6 respektive 6.1.6 versorgt. Anwender sind dazu angeraten, betroffene Systeme schnellstmöglich mit den jetzt allumfassend verfügbaren Updates zu versorgen.

Zu den weiteren Neuerungen, die das Update auf OS X 10.9.2 mit sich bringt, gehören die Möglichkeit, über Facetime reine Audioverbindungen ohne Video aufzubauen und den Empfang von Nachrichten von bestimmten Absendern über iMessage zu unterdrücken.
[Bilder: Zum Betrachten bitte den Artikel aufrufen.]
Das Update kann unter OS X 10.9 über die Update-Sektion im Apple App Store herunter geladen werden und wiegt auf einem MacBook Pro 15 Zoll Retina (2012) 460 Megabyte.
 
Das "Gewicht" von 460MB gilt nur für manche Mac (z.B. 2012er MacBookAir). Für einen iMac "late 2013" sind es z.B. 769MB. Das Combo-Update liegt bei 870MB...
 
ich habe noch nix bei euch gelesen, ob auch frühere OSX Versionen betroffen seien. es wird nur schwammig geschrieben: "… offenbar mit 10.9 eingeführt …". wie schaust denn nun mit älteren Versionen von OSX aus? 10.9 kann manche Sachen ja nicht mehr und ist somit in gewissen Bereichen nicht einsetzbar. daher läuft bei vielen noch 10.7.x oder 10.8.x! könnt ihr dem "offenbar" bitte nachgehen?
 
Die Vermutung geht bisher dahin, dass Apple Teile von iOS und MaxOS zusammengeführt hat und das beim Merge der entsprechenden Quelltextdateien etwas schiefgelaufen ist, sodass dieses doppelte "goto fail" zustande kam.

Der besagte, spezifische Fehler ist in vorhergehenden Quelltextversionen nicht vorhanden.


Es gibt jedoch durchaus die Möglichkeit, dass vorhergehende Versionen des Quelltextes und damit der daraus abgeleiteten Programme Fehler enthalten können, die bisher nicht bekannt sind. Insofern sind viele Artikel mit meist etwas wage formuliert.
 
Laberlohe schrieb:
Das "Gewicht" von 460MB gilt nur für manche Mac (z.B. 2012er MacBookAir). Für einen iMac "late 2013" sind es z.B. 769MB. Das Combo-Update liegt bei 870MB...
Zum Vergrößern anklicken....

Bei meinem MBP Retina 13" late 2013 sinds auch 769 MB
 
Sieht auf jeden Fall so aus als hätte Apple mit der Trennung von iOS und OSX einen schwerwiegenden architektonischen Bock geschossen.
 
Habe das update installiert. Waren 460mb für retina 2012. Aber: hat noch jemand das Problem dass das komplette Internet, trotz aktiver und funktionierender WLAN Verbindung, nicht mehr geht, oder ist das jetzt Zufall bei mir?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
News Chrome 118: Google schließt schwerwiegende Sicherheitslücke
Antworten
12
Aufrufe
1.376
Wechhe
Wechhe
Frank
News AVM Fritz!Box: Fritz!OS 7.57 und 7.31 schließen ausgenutzte Sicherheitslücke
17 18 19
Antworten
364
Aufrufe
35.936
Blende Up
Blende Up
coffee4free
News Schwachstelle: Private MAC-Adressen unter iOS waren bisher nutzlos
2 3
Antworten
47
Aufrufe
4.721
DFFVB
DFFVB
Hyourinmaru
Parallels: Installation von Mavericks, Yosemite und El Capitan über ISO/DMG nicht möglich
Antworten
3
Aufrufe
1.388
Hyourinmaru
Hyourinmaru
coffee4free
News Apple, Android und Linux: Angreifer können per Bluetooth Befehle einschleusen
2 3
Antworten
47
Aufrufe
5.188
Salamimander
Salamimander

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz