Apple-Rechner nach 2 Minuten gehackt

J

JL88

Ma wat für'n Erle :D

Apple-Rechner nach 2 Minuten gehackt

Hack-Wettbewerb zuungunsten von Apple entschieden

In einem Hacker-Wettbewerb auf der CanSecWest sind ein Windows-, Linux- und MacOS-System gegeneinander angetreten. Als Verlierer geht das Apple-System aus dem Rennen. Nach nur 2 Minuten war ein MacBook Air gehackt und Unbefugte hatten Zugriff auf den Rechner. Verantwortlich dafür ist eine offene Sicherheitslücke in Apples Safari-Browser.

weiterlesen

Vista(SP1) und Ubuntu 7.1 bleiben bisher ungehackt
 
Sicherheitslücke in Safari: CanSecWest - die Hintergründe
Problem bereits von den WebKit-Entwicklern gelöst


Wieder ist es einem Hacker während der CanSecWest-Konferenz im kanadischen Vancouver gelungen, die Kontrolle über einen Mac zu erlangen. Charlie Miller, der damit den ausgeschriebenen Wettbewerb, das geknackte MacBook Air und 10.000 kanadische Dollar gewann, machte sich dabei eine Lücke in der Bibliothek PCRE zunutze: Sie wird vom WebKit verwendet, der Engine des Apple-Browsers Safari.

Es ist "mit größter Wahrscheinlichkeit" eine JavaScript-Funktion des Apple-Browsers, die nicht sicher ist, erklärt MacGeneration: Die Open Source-Bibliothek PCRE sorgt dafür, dass die JavaScript-Engine mit der Programmiersprache Perl kompatible Codeschnipsel ausführt. Durch einen Fehler in der PCRE-Bibliothek sei es Miller gelungen, einen Pufferüberlauf zu provozieren und so die Kontrolle über das MacBook Air zu erlangen (wir berichteten). Solch ein Pufferüberlauf gehört zu den am häufigsten auftretenden Sicherheitsfehlern in aktueller Software: Ein betroffenes Programm schreibt dabei zu viele Daten in einen zu kleinen Speicherbereich, dabei wird ein Teil der Informationen im Speicher überschrieben und die Laufzeitumgebung geändert. Böswillige Angreifer machen sich das zunutze, um eigenen Code in den Speicher zu schreiben und ihn dort auszuführen.

Die WebKit-Entwickler haben sich bereits um das Problem gekümmert, in aktuellen Nightly Builds der Software dürfte der Hack nicht mehr möglich sein. Wie lange sich Apple allerdings Zeit nimmt, um allen Anwendern eine neue Safari-Version mit aktualisiertem WebKit zur Verfügung zu stellen, ist noch nicht abzusehen - Safari 3.1 ist noch von ihr betroffen. Bislang sind noch keine schädlichen Internetseiten bekannt, die die Lücke ausnützen. Bereits im letzten Jahr ist es während der CanSecWest-Konferenz einem Hacker gelungen, über eine Schwachstelle die Kontrolle über Mac OS X zu erlangen. Wie in diesem Jahr reichten die Entwickler die Schwachstelle an Apple weiter und veröffentlichten sie im Detail erst dann, als sie der Mac-Hersteller geschlossen hatte.

Quelle:http://www.macnews.de/News/Software...ri_CanSecWest_-_die_Hintergruende/107398.html
 
Nun geht das muntere Mac bashing auch hier los. :gaehn:

Man sollte mal die sicherheitspolitik von Apple mit der von Microsoft vergleichen:

Apple:
Ein security Hole wird bekannt. Es wird seitens Apple davor gewarnt und empfohlen den betreffenden Dienst/Programm/etc. vorläufig nicht zu nutzen. Nach spätestens einer Woche gibts von Apple einen Patch und alles ist weider in Ordnung.

Microsoft:
Ein security Hole wird bekannt. Microsoft reagiert nicht.
Es wird von mehreren Newsseiten davor gewarnt. Microsoft warnt vor dem Sicherheitsloch. Es vergehen X-Wochen und ein Patch wird "gefrickelt" und als Beta über das MSDN vertrieben.
Nach weiteren Wochen wird der Patch öffentlich.
Mitunter ist jetzt ein halbes Jahr vergangen ...

Linux:
Ein security Hole wird bekannt. Die Entwickler patchen es und alles ist in Butter...

:huhu:
 
Ziggi schrieb:
Nun geht das muntere Mac bashing auch hier los. :gaehn:

Man sollte mal die sicherheitspolitik von Apple mit der von Microsoft vergleichen:

...

:huhu:
Zum Vergrößern anklicken....

Na wenn den Artikel lesen würdest, würdest wissen das es eben nicht so läuft ;).

...
  • Die Summe nicht gestopfter Sicherheitslücken schwankt an jedem Tag in den beobachteten sechs Jahren bei Microsoft zwischen 0 und 22, bei Apple zwischen 0 und 55 Lücken.
  • Die durchschnittliche Menge gleichzeitig bestehender, nicht geschlossener Sicherheitslücken liegt bei Microsoft fast im gesamten Beobachtungszeitraum unter 20. Bei Apple liegt diese Summe seit 2006 konstant über 20 – mit steigender Tendenz.
  • Microsoft schafft es im Beobachtungszeitraum regelmäßig, mehr als 20 Prozent der veröffentlichten Sicherheitslücken noch am Tag des Bekanntwerdens mit einem Flicken zu stopfen – Apple übertrifft die 20-Prozent-Marke nur im Jahr 2004.
...
 
Zuletzt bearbeitet von einem Moderator:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben