Channels
Powered by True

Main » Nieuws » Personal Computer » Software » Kritieke veiligheidsfout in Mac OS X ontdekt

Kritieke veiligheidsfout in Mac OS X ontdekt

Door Martin Sturm, donderdag 11 januari 2007 22:36
Bron: MoAB, submitter: hAl, views: 18.665

In het kader van de 'Month of Apple Bugs' heeft veiligheidsonderzoeker LMH een fout in Mac OS X ontdekt die kwaadwillende de mogelijkheid biedt om willekeurige programmacode uit te voeren. Momenteel is er nog geen oplossing voor de veiligheidsfout.

Apple dmg-icoonHet project 'Month of Apple Bugs' is ingesteld door een aantal veiligheidsonderzoekers en heeft als doel om gedurende de maand januari 2007 elke dag met een nieuwe veiligheidsfout in Mac OS X te komen. Een van de hackers, die schuilgaat onder de naam LMH, meldt de nieuwe veiligheidsfout op de projectwebsite. De fout bevindt zich in de ffs_mountfs-functie en maakt het in ieder geval mogelijk om een Denial-of-Service-attack uit te voeren. Waarschijnlijk maakt de fout het ook mogelijk om willekeurige programmacode op een getroffen systeem uit te voeren. De enige mogelijkheid die momenteel bekend is om de fout te misbruiken, is door gemanipuleerd dmg-bestand te downloaden met de Safari-browser. Een tijdelijke oplossing om mogelijk misbruik te voorkomen is dan ook om het automatisch openen van dmg-bestanden door Safari uit te schakelen. In oudere versies van Mac OS X staat deze optie standaard ingeschakeld, in nieuwe installaties van Mac OS X Tiger is deze optie reeds uitgeschakeld.

Eind vorig jaar kwam ook al een veiligheidsfout in Mac OS X aan het licht die gebruik maakte van de functie in Safari die dmg-bestanden automatisch opende. De door LMH gevonden bug in Mac OS X is ook aanwezig in het besturingssysteem FreeBSD, waarop Mac OS X is gebaseerd. De 'Month of Apple Bugs' heeft inmiddels, zoals verwacht, geresulteerd in 10 niet-gepatchte veiligheidsfouten in het besturingssysteem. Volgens de mensen achter het project is het doel van dit project om aan te tonen dat OS X niet feilloos is, maar ze verwachten wel dat het besturingssysteem veiliger zal worden door hun actie. Het project is niet onomstreden, omdat de hackers de ontdekte fouten niet van te voren aan de softwareproducenten melden, waardoor deze niet van te voren een oplossing kunnen bieden voor het veiligheidsprobleem.

Volgende: IBM voor veertiende keer patentenkampioen 23:57
Vorige: Eclipse voegt zich bij JCP en andere organisaties 22:09

Categorieën

Gerelateerde artikelen

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 80 reacties zichtbaar800 Neutraal: 76 reacties zichtbaar76+1 Meerwaarde: 33 reacties zichtbaar33+2 Verplicht leesvoer: 12 reacties zichtbaar12
«  1  2  3  »

Door joost.van.donge, donderdag 11 januari 2007 22:39

Score: 2
Ik denk toch niet dat Apple hier al te blij mee zal zijn. Ze krijgen zo natuurlijk wel zonder kosten een aantal bugs toegeworpen waar ze wat mee kunnen en die kunnen ze patchen. Maar tegelijkertijd trekken ze een grote groep mensen aan om misbruik te gaan maken van Mac's ipv PC's. Dus dit trekt voor Apple waarschijnlijk iets teveel aandacht van hackers naar zich toe op de langere termijn.

Door tybris, donderdag 11 januari 2007 23:02

Score: 0
There's no such thing as bad publicity.

Door Frank-L, vrijdag 12 januari 2007 00:44

Score: 2
Flauwekul natuurlijk, wat dacht je bijvoorbeeld van de Sony Rootkit zaak?

Door Borromini, vrijdag 12 januari 2007 01:10

Score: 0
Positieve publiciteit voor de Open Source Software :Y)

Door Parabellum, vrijdag 12 januari 2007 02:22

Score: 0
Open source word nooit wat, aangezien de OS'en daarin nog steeds onvolwassen zijn voor het grote publiek. Ten tijde dat een OS heeft bijgebeend staat er al weer nieuwe hardware klaar en loopt het weer achter.

Zo blijft het een eindeloos liedje met open source, mits er eens een bedrijf opstaat en een eigen open source based OS gaat uitbrengen. Niets mis met open source maar voor de gemiddelde thuisgebruiker is het niets. Ga na dat een normale gebruiker al niet weet hoe je een MS systeem moet onderhouden, laat staan met open source waar veel het gezeur van drivers de boven toon voert ;) En tsjah, tweakers gebruiken het mat dat is de kleinste groep.

Door maxxware, vrijdag 12 januari 2007 08:45

Score: 0
@Parabellium: Wat betreft hardware... wanneer ik een USB bluetooth stick in mijn Linux PC stop werkt-ie. Windows wil eerst een driver downloaden. Hetzelfde geldt voor een USB WiFI stick, PCMCIA kaarten, etc. Linux ziet ze direct. Windows wil allerhande drivers installeren en natuurlijk een paar keer rebooten. (Mag ik je er even op wijzen dat Linux als een van de eerste, en ruim voor MS een 64 bits kernel klaar had?)
De enige reden waarom Linux 'niet geschikt zou zijn voor de gemiddelde gebruiker' is simpel: de gemiddelde gebruiker is Windows gewend. Linux werkt anders dan Windows, maar dat is niet hetzelfde als gebruiksonvriendelijk.
En er zijn zat bedrijven die een open source based OS uitbrengen: RedHat, Novell (Suse), Mandriva, Sun (Open Solaris). Een open source OS onvolwassen noemen toont weinig inzicht in de echte wereld...

Door Korben, vrijdag 12 januari 2007 09:19

Score: 2
Windows heeft helemaal geen driver nodig voor een BlueTooth USB-stick. Misschien als je een van die mensen bent die vanwege loze argumenten SP2 niet geinstalleerd heeft. En Linux eerder met 64-bit? Laat me niet lachen. Windows NT 3.1, uit 1993, kon al op de 64-bit Alpha draaien. Linux kon dat pas in maart 1995, en versies daarvoor konden alleen maar op de 386-processor. Sterker nog, Windows NT 3.x kon al SMP, iets wat Linux pas in 1996 onder de knie kreeg.

Door maxxware, vrijdag 12 januari 2007 09:43

Score: 0
@Korben: Ik heb Geen service pack 2 geinstalleerd omdat ik geen Windows draai. Maar als ik mijn USB bliuetooth stick bij een kennis in een XP + SP2 doos steek wil het apparaat eerst een installatie CD zien...

Door Wim-Bart, vrijdag 12 januari 2007 11:04

Score: 0
@maxxware: Wat een brakke stick dan, want normaal is het niet nodig. Of heeft ie zijn drivers folder gestript met één of ander tooltje.....

Door teh_twisted, vrijdag 12 januari 2007 11:15

Score: 0
Meanwhile, in 1991, another kernel was begun as a hobby by Finnish university student Linus Torvalds while attending the University of Helsinki.
van http://en.wikipedia.org/wiki/Linux
When development started in November 1988, Windows NT (using protected mode) was to be known as OS/2 3.0
1988... 1993... zit 5 jaar tussen, net als bij Linux dus :)

En wat ze bedoelden met dat Linux eerder 64bit had was toen Intel kwam met de Itanium en AMD met de Athlon64... toen liep Microsoft achter met de 64bit versie van Windows XP, die nog steeds grotendeels niet werkt.

Bottomline: who gives a f@$%, get a mac.

Door Dreamvoid, vrijdag 12 januari 2007 11:35

Score: 1
64-bit schiet op zowel Mac, Windows en Linux ondanks alle hype nog niet erg op. Bij XP x64 is er altijd geklooi met drivers en dingen als 32-bit browser plugins die niet werken in 64-bit IE, etc. Bij Linux is 64-bit ook een ondergeschoven kindje, waar veel meer bugs in zitten dan in de tried-and-tested 32-bit code. En op de Mac heeft het hele 64-bit gebeuren twee jaar stilgelegen met de switch van de G5 naar Intel. De 32-bit libraries van OS X zijn nog altijd stabieler en sneller dan de 64-bit libraries, en de benodigde compatibiliteit met 32-bit only G4 en Core Duo zorgde ervoor dat applicatiebouwers zich meer gingen concentreren op 32-bit code.

Het verleden leert dat dit soort dingen erg langzaam gaan. In de vroege jaren 90 draaide Windows 3.11 al 32-bit code, maar anno 2007 wordt nog steeds menig applicatie geleverd met een 16-bit installer.

Door jealma, donderdag 11 januari 2007 23:21

Score: 1
haha dat "zo lek als een zeef" valt nog wel mee, maar het publiek mag idd wel eens van het idee afstappen dat je met osX volkomen veilig bent, want dat is niet meer zo. ;)

Door smokalot, vrijdag 12 januari 2007 00:10

Score: 2
Dat alle OSen fouten bevatten wisten we al. Een OS veilig noemen is dus relatief aan andere OSen, en wat dat betreft mag je OSX nog steeds veilig noemen.

De kans dat je met OSX bij normaal gebruik besmet raakt met een virus, of op een andere manier door malware wordt getroffen, is nog steeds vele malen kleiner dan bij het gemiddelde OS, win32.

Door nitraat, vrijdag 12 januari 2007 09:02

Score: 2
Ik wordt ook schijt ziek van die mensen die beweren dat je op de Mac helemaal veilig bent. Ik zag laatst een lokale Mac dealer er zelfs reclame voor maken.
Geen enkele Mac gebruiker zal beweren dat OSX feilloos is! Feit is wel dat er tot op dit moment (afgezien van de Office virussen) geen OSX virussen zijn.
Je wilt niet weten hoeveel mensen dat denken. ALs je ze dan op berichten als deze wijst is het allemaal "onzin". Hun macje is heilig en niemand die er wat kwaads over mag zeggen.

Door Maurits van Baerle, vrijdag 12 januari 2007 12:36

Score: 0
@nitraat:

Op zich heeft die dealer gelijk, mensen zijn niet volledig veilig op een Mac (hoewel er inderdaad helaas wel mensen zijn die dat beweren, daar heeft hij ongelijk in).

Verder zijn er nog steeds geen OS X virussen bekend. Dit T.Net artikel heeft niets met virussen te maken maar met een kwetsbaarheid in OS X waar door virussen geen gebruik van wordt gemaakt. Het is ook niet zo waarschijnlijk dat dat ooit gebeurt met deze kwetsbaarheid. Je moet mensen moedwillig iets laten downloaden en uitvoeren, dat kun je net zo goed zonder die kwetsbaarheid uitbuiten als virussschrijver.

Door weebl, donderdag 11 januari 2007 23:16

Score: 1
Jammer dan voor Apple, als ik een fout in een veiligheidsfout in een auto ontdek, dan ga ik het ook niet eerst aan de fabrikant vertellen die er vervolgens weer twee weken over doet om het openbaar te maken... In die twee weken kunnen er ongelukken door gebeuren, terwijl deze voorkomen kunnen worden als de eindgebruikers er van op de hoogte zijn.

Door humbug, donderdag 11 januari 2007 23:25

Score: 2
foute vergelijking. Bij een veiligheidsfout aan een auto zitten er weinig nadelen aan het openbaar maken van het probleem.

Maar laat jij als je een auto (om bij je voorbeeld te blijven) bij de arena ziet staan die niet op slot is en een laptop op de achterbank ook de eigenaar omroepen. "Wil de eigenaar van de blauwe volkswagen golf met kenteken 12-34-ab die in vak A staat naar zijn auto terugkeren, zijn laptop eruit halen en de auto op slot doen?" Ik hoop van niet...

De gevolgen van het voortijdig bekend maken van deze fouten kunnen wel eens vele malen erger zijn dan de schade die door het uitstel van het melden ontstaat als de fout pas openbaar wordt nadat de fabrikant hem hersteld heeft.

Door T.J, vrijdag 12 januari 2007 08:59

Score: 0
Bij een veiligheidsfout aan een auto zitten er weinig nadelen aan het openbaar maken van het probleem.
Dat zeg je wel, maar een goed voorbeeld hiervan is de Landwind. De eerste Chinese auto in Nederland waar aanvankelijk nogal wat mis mee was. De ANWB deed daar een crashtest mee en daar kwam deze auto dramatisch slecht uit. Nu kan je een extra balkje laten monteren maar de reputatie is inmiddels al vernield. Zelfs één of andere Chinese pief van het bedrijf kon het niet meer redden.

Zoiets kritieks betkendmaken kan een product echt wel vernielen. Ik denk juist dat bij software dat wat minder gevoelig ligt. Een van de redenen dat ik over zou stappen op Mac OS X is de veiligheid, maar dit hoor je maar al te zelden uit de mond van een leek (=meerderheid).

Door yzf1kr, vrijdag 12 januari 2007 09:11

Score: 0
En dan te bedenken dat de ANWB moedwillig de test bij een te hoge snelheid had uitgevoerd naar wat achteraf bleek. Er was weinig of niets mis met die auto, behalve dat hij erg goedkoop was.

Zo beschermt de europeese autoindustrie zichzelf met behulp van "onafhankelijke" organisaties als de ANWB.

Door HKS-Skyline, donderdag 11 januari 2007 22:44

Score: 1
Logisch dat er fouten in zitten, zo kan je ieder softwarepaket wel aan een test onderwerpen.
Slechte publiciteit voor Apple, maar ik denk dat als ze zoiets zouden organiseren voor Windows vista dat het net zo erg is of misschien zelfs wel erger zou uitpakken.
Foutloos programmeren is erg moeilijk, en vrijwel niet haalbaar, fouten houden we altijd en dit soort events zijn mooi want dat verbeterd alleen maar de veiligheid in de toekomst.
De overlast dat deze bugs verzorgen lijkt me minimaal, de meeste mensen weten niet eens hoe ze de fouten kunnen benutten.

Door .dani., donderdag 11 januari 2007 22:53

Score: 0
Het lijkt me genoeg als er 1 persoon is die weet hoe je de "fout kunt benutten" he. Als jij daardoor al je data kwijt bent, gok ik dat je niet al te vrolijk bent ;)

Door Dreamvoid, donderdag 11 januari 2007 22:54

Score: 1
Nou, .dmg files worden erg veel gebruikt op de Mac, voor oa distributie van installatiebestanden. Om de vergelijking met Windows te trekken: dit is grofweg vergelijkbaar met een lek in .msi .

Om een voorbeeld te geven: als iemand ergens op een mirror server in een onbewaakt ogenblik een DMG van bv Firefox vervangt door zijn eigen code, zullen er met een beetje pech duizenden mensen zonder het te weten malware downloaden en, omdat ze in de waan zijn dat ze Firefox aan het installeren zijn, zonder aarzelen op "OK" drukken.

Door G3rtjuh, donderdag 11 januari 2007 23:56

Score: 0
een .dmg is als een soort Zip bestand.

Door gooddaddy, vrijdag 12 januari 2007 07:24

Score: 0
Helaas hoef je zoiets niet te organiseren voor Windows vista. Dat wordt reeds sind beta 1 gedaan, en zal altijd blijven doorgaan ;)

Door Hensz, donderdag 11 januari 2007 22:58

Score: 0
Die DoS-attack gaat er bij mij niet in. Ik zie niet hoe je zonder arbitrary code een DoS attack kunt uitvoeren. Het beste wat te bereiken is, is dat de Mac in kwestie moet worden herstart. Als je dat DoS wilt noemen, mij best. ;)

Door Rafe, donderdag 11 januari 2007 23:14

Score: 1
DoS = denial of service, kortom er voor zorgen dat de machine zijn service(s) niet meer kan verlenen. Als ik jouw Mac continu laat resetten door deze exploit, zou ik toch wel durven stellen dat het mij gelukt is om een DoS-aanval uit te voeren. Het hoeft dus niet perse om een lawine van traffic te gaan die op het dak van je doel land :).

Door ledog, vrijdag 12 januari 2007 15:29

Score: 0
contine laten resetten zal je niet lukken. Als het jou al mocht lukken om een mac vast te laten lopen met deze exploit gaat de gebruiker jouw dmg bestandje echt geen tweede keer openen.

Door Hensz, vrijdag 12 januari 2007 23:25

Score: 0
Zodoende hebben dus, in geval een blondine, 2 x keer een DoS in de vorm van een herstart, totaal goed voor zo'n 3 - 5 minuten tijdverlies.
Zolang dit lek niks anders kan doen dan crashen als iemand er op dubbelklikt, zal het kwa DoS wel loslopen.

We hebben Norton Crashguard ook nooit een DoS-attack genoemd en dat zat er al dichterbij. Die crashte bij het opstarten waardoor je moest herstarten waardoor je weer crashte etc. :7

Door slindenau, donderdag 11 januari 2007 23:03

Score: 1
Natuurlijk heeft ze actie voor Apple zo zijn voor- en nadelen, maar ik hoop dat het tot de vele (stugge) Mac-gebruikers eens doordringt dat hun OS, net als dat van iedereen, niet feilloos is.

Want dat is het enige wat echt gevaarlijk is, laksheid van de eindgebruiker omdat die het OS heilig acht.

Door Bazilfunk, vrijdag 12 januari 2007 01:58

Score: 0
De dag dat dat ik ook effectief een virusscanner nodig heb of mijn firewall wel moet aanzetten zal ik je gelijk geven.

Al jaren krijg je om de zoveel maanden wel zo'n paniekbericht en toch is er tot nu toe geen enkel virus of dergelijke dat ooit een Mac OS X heeft kunnen aantasten.
Mijn systeem werkt gewoon feilloos en dat doet het al jaren.

Ik zie meer probleem in het feit dat er telkens zo paniekerig wordt gedaan over die bugs dat als het ooit eens serieus is er geen enkele maccer het nog geloofd

Door hiostu, vrijdag 12 januari 2007 08:06

Score: 0
Dat er niet veel virussen voor de Mac zijn komt gewoon, omdat de Mac usergroep niet een grote doelgroep is voor hackers en virusschrijvers. Op het moment dat MacOSX een groter markt aandeel zou krijgen, zou dit waarschijnlijk wel het geval zijn.

Door Carbon, vrijdag 12 januari 2007 08:31

Score: 0
Dat er niet veel virussen voor de Mac zijn komt gewoon, omdat de Mac usergroep niet een grote doelgroep is voor hackers en virusschrijvers.
Zo zie je maar weer dat een groot markaandeel niet altijd een voordeel is.

Door supertheiz, vrijdag 12 januari 2007 08:57

Score: 1
= Onzin.
Als het net zo makkelijk zou zijn als voor Windows hadden er ook voor OS X virussen geweest.
Je ziet regelmatig virussen voorbij komen die voor een applicatie geschreven zijn met een veel kleinere doelgroep als OS X. Je hebt ook virussen voor bepaalde types mobile telefoons ook weer met een veel kleiner marktaandeel als OS X.

De redenen dat Windows 'de lul' is is tweeledig:
1 > Er zijn nogal wat mensen met een afkeer van MS. Kraken van MS spul is dan ook een nationale sport in veel landen. De grootste uitdaging bijvoorbeeld sinds het uitbrengen van XBOX door MS was het aan de gang krijgen van Linux op dat ding...
2 > Windows is op zich een knap staaltje werk: Er moet een heleboel hardware mee worden ondersteund en er is heel makkelijk met verschillende programmeertalen voor te ontwikkelen. Hierbij is er ook nog eens een hoop onbeveiligd geautomatiseerd via API's etc. Dit alles maakt het echter wel makkelijker om virussen te maken en uit te voeren. Door het aanroepen van standaard functies dmv een heel klein programma kan je veel schade aanrichten en dat is precies wat een virus doet.

Door Carbon, vrijdag 12 januari 2007 08:34

Score: 0
maar ik hoop dat het tot de vele (stugge) Mac-gebruikers eens doordringt dat hun OS, net als dat van iedereen, niet feilloos is.
Geen enkele Mac gebruiker zal beweren dat OSX feilloos is! Feit is wel dat er tot op dit moment (afgezien van de Office virussen) geen OSX virussen zijn.

Door ultimasnake, vrijdag 12 januari 2007 08:46

Score: 1
Alleen hoe weet je dat je mac virus vrij is? Niet ieder virus tast je computer/computer gebruik aan.

Zonder een scanner weet je nooit wat er gaande is, zelfde reden waarom jij naar de tandarts moet. Een gaatje voel je niet altijd maar hij is er wel en de tandarts kan die zien en fixed het......

Door Maurits van Baerle, vrijdag 12 januari 2007 12:28

Score: 0
Op zich heb je gelijk dat je zonder scanner ook eigenlijk niet weet of je wel of niet besmet bent. OS X zit echter in een wat rare positie wegens gebrek aan virussen.

Het is een beetje een kip-ei kwestie zolang er nog nooit een OS X virus in het wild is ontdekt kun je wel een OS X virusscanner kopen maar die scannen op 0 bekende OS X virussen en 110.000+ bekende Windows virussen. Zolang er geen virus bekend is zal een scanner ze ook niet herkennen.

Zodra er meer dan 0 virussen zijn voor de Mac en de virusscanners ze dan ook gaan detecteren verandert dit alles en krijgen virusscanners nut, tot die tijd doen ze meer kwaad dan goed.

Door SED, donderdag 11 januari 2007 23:04

Score: 2
en als opvolging meteen een volgende bug in Apple OS X
( niet helemaal waar natuurlijk, third party software, maar daar kijkt men bij Window Bugs ook zelden naar)
In de Application Enhancer (APE) van Unsanity bevindt zich een kwetsbaarheid, waardoor lokale gebruikers beheerdersrechten kunnen verkrijgen en de systeeminstellingen kunnen wijzigen. APE wordt onder andere gebruikt door de onderzoekers achter het 'Month of Apple Fixes'-project, die de dagelijks door Moab gepubliceerde lekken in Apple-software dichten.

De Application Enhancer laadt plugins met uitvoerbare codes in actieve applicaties. De Moaf-onderzoekers gebruiken de applicatie om zelfgemaakte patches voor de door het Moab-team onthulde kwetsbaarheden te installeren, zo meldt Zdnet UK. Gebruikers van APE kunnen beheerdersrechten verkrijgen door de APE-binary te patchen of te vervangen.

Volgens Landon Fuller van het Moaf-project is het ook mogelijk om een systeem van een afstand te hacken met behulp van APE, door de kwetsbaarheid in het programma te combineren met een remote exploit.

Fuller heeft op de Moaf-site een workaround gepubliceerd waarmee het probleem vermeden kan worden, maar een patch is nog niet beschikbaar, zo meldt Zdnet UK. De onderzoekers van het Moab-project raden na hun ontdekking het gebruik van de Application Enhancer af.

Door burne, donderdag 11 januari 2007 23:07

Score: 0
APE is geen deel van OS-X maar losse software.

Door arnoud_h, donderdag 11 januari 2007 23:37

Score: 2
De APE (Application Enhancer) software is berucht buggy en veroorzaakt vele conflicten met diverse commerciële software. Als je een beetje gesteld bent op een stabiel OSX kun je überhaupt deze software beter mijden...

Door CasaMan, donderdag 11 januari 2007 23:06

Score: 2
Als een hacker een DMG kan verspreiden die gebruik maakt van deze hack, dan had hij toch sowieso al een dmg kunnen distribueren met "foute software".. In beide gevallen zal de gebruiker het DMG bestand downloaden op basis van hetzelfde vertrouwen.

Door Gustaaf437, donderdag 11 januari 2007 23:36

Score: 0
Klopt wel wat hier gezegd wordt. Of het nou de software zelf is of de uitpak software, in beiden gevallen open je het. Ik denk niet dat je software eenmaal na het uitpakken niet gebruikt. Het is ook zo dat Safari al sinds versie 1.x niet langer disk images automatisch mount, maar hier altijd om vraagt.

Het laat natuurlijk niet weg dat Apple dit even moet verhelpen, maar echt kritiek is dit lek niet. Dit aangezien het niet makkelijker wordt om een systeem te misbruiken dan gewoon malifide software te installeren bij het slachtoffer.

Door ebes, vrijdag 12 januari 2007 09:15

Score: 1
Nee, klopt niet. Als je een dmg mount met een executable erin vraagt OSX eerst of je dat weet en wilt. Naar wat ik begrijp omzeilt dit lek deze vraag, dus er kan code worden uitgevoerd zodra je de dmg mount.

Door KatirZan, vrijdag 12 januari 2007 12:47

Score: 0
Toch niet helemaal correct, de dmg mount gebeurd "remote" waarmee je, door het juist uit te voeren, deze melding onderdrukt.

daarnaast is deze bug al enkele dagen bekent (vanaf 5 januari al zelfs...)

Door KoeNijn, vrijdag 12 januari 2007 00:04

Score: 0
Website van een populair OSX softwaretooltje hacken, backdoor inbouwen. En als er een nieuwe versie van uitkomt de DMG waarmee het verspreid wordt aanpassen.

Gevolg is dat veel mensen die de nieuwe versie downloaden geïnfecteerd zullen raken omdat het zo'n populair tooltje is.

Door dycell, donderdag 11 januari 2007 23:09

Score: 1
wait for Apple to release a fix (this issue was confirmed to them via e-mail after public availability of the MoKB FreeBSD issues, > month ago).
Een maand?

Door hAl, vrijdag 12 januari 2007 09:35

Score: 1
De identieke FreeBSD fout was al op 3 november in de Month of Kernel Bugs ontdekt in FreeBSD versie 6.1
Apple heeft een beetje zitten slapen denk ik aangezien zij nu na ruim twee maanden met dezelfde fout opgescheept zitten.

Door jelly, donderdag 11 januari 2007 23:11

Score: 0
Krijg je hier ook 8000 dollar voor elk lek dat je kan misbruiken :P

Door flowerp, donderdag 11 januari 2007 23:22

Score: 2
Ik snap dit lek niet helemaal. Het treed in werking als je DMG bestanden download, maar als je deze download dan is een grote kans dat je ze toch al zou gaan openen en installleren, toch?

Ik bedoel, wie download er nu een dmg om daar dan vervolgens nix mee te doen?

Het lek blijft slordig, maar lijkt me iets minder erg dan als ik een willekeurige web pagina oid zou bezoeken en dan zou er iets automatisch installeren.

Door humbug, donderdag 11 januari 2007 23:29

Score: 0
Iemand die niet weet wat een DMG is of niet weet dat hij een DMG download. Het is redelijk eenvoudig om mensen te misleiden en per ongeluk een fout bestand te laten downloaden. Door de extra handeling wordt deze misleiding een stuk moeilijker.

Door arnoud_h, donderdag 11 januari 2007 23:40

Score: 1
een .dmg bestand is een Disk Image bestand. Dit is een hele populaire manier om Mac OS X software te verspreiden.

Ter illustratie: in mijn Downloads folder staan 183 bestanden, en daarvan zijn 79 .dmg bestanden....

Door sangdrax, vrijdag 12 januari 2007 08:48

Score: 1
Precies. En als je software download om te installeren vertrouw je de bron dus al. Of nou de .dmg zelf je OS gaat hacken of de applicatie die je gaat installeren, dat maakt niet zo heel veel uit. Niet in de praktijk tenminste.

Door oVRoM, zaterdag 13 januari 2007 18:46

Score: 0
Maar wat nu als je in je website een meta-tag zet die automatisch redirect naar een DMG?
Als automatisch launchen van die dingen aan staat dan ben je dus door alleen het bezoek van een website al aan de beurt... Staat die optie uit dan moet je bewust een onbekende DMG die 'opeens' op je desktop staat gaan mounten, wat me al een stukje onwaarschijnlijker lijkt.
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende: IBM voor veertiende keer patentenkampioen 23:57
Vorige: Eclipse voegt zich bij JCP en andere organisaties 22:09
Powered by True
RSS VNU Media logo
© 1998 - 2008 Tweakers.net - Alle rechten voorbehouden
Uitgever van: