Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 29 reacties
Bron: C|Net

Een audit van de broncode van Darwin, de kerntechnologieŽn waar Mac OS X op gebaseerd is, door ImmunitySec blijkt een viertal fouten naar boven te hebben gebracht. De fouten zitten in het HFS-bestandssysteem, de scheduler at, die gebruikt wordt om op een bepaald moment een taak eenmalig uit te voeren, en de kernel. Omdat eventuele exploits uitgevoerd dienen te worden in de shell zijn met name systemen kwetsbaar waar grote groepen gebruikers remote toegang hebben. Volgens ImmunitySec wordt OS X vooral gebruikt als desktop OS en mede daardoor is de kans op misbruik van deze fouten gering.

Powered by Darwin logoImmunitySec geeft in zijn rapport aan dat alle recente versies van Mac OS X gevoelig zijn voor eventuele exploits. Het bedrijf vond de fouten al in juni 2004 nadat zij de, publiekelijk verkrijgbare, broncode van Darwin bestudeerde. Hierna publiceerde het bedrijf de gevonden fouten op een besloten mailingslijst zonder Apple op de hoogte te stellen. Apple bevestigt hier niet van op de hoogte gesteld te zijn, maar heeft aangegeven de lekken te onderzoeken.

Moderatie-faq Wijzig weergave

Reacties (29)

Tja, zo gaat dat in het Evolutie proces van Darwin. :)
<offtopic>evolutie leid tot perfectie :Y)</off>
Verschrikkelijk, wie zou er een besturings-systeem willen met 4 fouten?
Een kernel alleen maakt nog geen besturingssysteem. Ik denk dat het aantal fouten in de Windows kernel ook maar heel gering is. Anders zou je met elke Windows-update ook een kernel-update krijgen, en die zie ik niet gigantisch veel voorbij komen gelukkig. :)
Nope, Microsoft vraagt de volle mep voor een nieuwe kernel (verschil tussen Windows 2000 & XP & 2003 -> Kernel 5.0 & 5.1 & 5.2)


Overigens doet Apple precies hetzelfde hoor.. ;) 10.2, 10.3, straks 10.4 (tiger...)
psst opletten SyS_ErroR. Je vergeet de kernel updates in de minor releases bij Mac OSX. Ik heb geen idee of die er voor Windows zijn (ik mag hopen van wel ;) ) maar bij OS X zijn ze er.

10.3.6 -> 10.3.7

Daarnaast klinkt een verandering van 10.3 (Panther) naar 10.4 (Tiger) natuurlijk heel klein, maar er komt toch heel wat nieuws uit. Waar je als PC user met Windows 2000 niet per se over zou willen stappen naar XP (tenzij de teletubbie interface je bevalt) hebben Mac gebruikers (en met name degene met een G5 en/of een PS2.0-compliant GPU) veel meer reden om geld neer te tellen voor deze 'minor release'. Volledige 64bits support, Core Image, Core Video, Spotlight, Safari RSS... Ik ga in ieder geval mijn PowerBook zo snel mogelijk voorzien van Tiger als de financien het toelaten.

Overigens vind ik het wel vrij kansloos dat je als _bedrijf_ lekken bekend maakt zonder Apple in te lichten.
@DanielIP

Waarom maak je je druk dat hij die Windows Xp interface er teletubbies achtig uit vindt zien? Daz toch persoonlijke smaak? En vervolgens maak je er een piemel wedstrijd van door de eeuwige apple 1-knops muis er bij te betrekken, wat bull is want de meest apple gebruikers gebruiken allang 3 knops muizen met scrollwieltjes van Logitech etc... want PC muizen zijn gewoon compatibel met Mac's. Net als bestanden, cd-rom's, schermen, scanners, printers etc. We leven niet meer in 1985.
De Apple Interface is een interface waarbij gebruiksgemak boven prachtige praal staat.


Als je met Windows XP Teletubbie werkt ben je na 30 min stoned van al dat blauw...
toch handig dat darwin, het core os van mac os x, open source is.

zo kunnen derden de code onderzoeken/auditten op bugs en apple informeren als er wat aan de hand is.

"security through obscurity" werkt nou eenmaal niet..
ze hebben alleen apple geen informatie gegeven..
terwijl ze het all meer dan 6 maanden wist.
Exploit is niet altijd gelijk aan virus in degewone zin van het woord. De grote virussen( MyDoom enz.) gaan niet gebruik maken van specifieke en vergezochten fouten en poblemen. Ze gaan via een eenvoudige archtitectuur en een redelijk algemeen (vb. software specifiek (IE) ) probleem aan de slag gaan.

Ook, wie gaat er nu een mac virus schrijven? Zoiets op een grootschalige manier verspreiden is nogal moeilijk en niet echt aantrekelijk voor de virusboer.

Zo'n berichten zijn meer gratis reclame voor de mensen die de Audit doen (in dit geval ImmunitySec ) en niet echt van groot nieuws. Voor ImmunitySec is het ook hun eerste doel: het nieuws len.
Tjah...Dit zijn gewoon privilegde escalations en moeten natuurlijk wel gedicht worden. Ze zijn inderdaad niet remote exploitable, maar als er eenmaal een remote exploit is (en die komt er geheid wel ooit een) kan de exploit deze bugs gebruiken om root access te verkrijgen en stoute dingen met het systeem doen...

Overigens realiseren veel mensen zich niet dat je niet perse root hoeft te zijn om stoute dingen te doen...
MyDoom was toch een RPC worm? geen virus...
Waar gaat het eigenlijk naar toe met Darwin?
Is de bedoeling dat darwin ooit een full working OS op x86 wordt?
Want ik zou er direct voor tekenen. Ik vind OS X wel nice. Alleen wil ik er geen Mac voor kopen :)
Darwin draaid al jaren op x86.
Darwin is gebasseerd op FreeBSD (voor de mensen die het niet weten):

http://www.apple.com/macosx/features/unix/
Darwin != Mac OS X

Darwin is gewoon het onderliggend systeem, OS X is de desktop...

<slechte vergelijking>
Stel je windows 95 of 98 voor, ze draaiden DOS en daarna startte windows. Darwin (De DOS) is vrij aan te passen maar de interface niet.
</slechte vergelijking>

Darwin is inderdaad al jaren te downloaden en te gebruiken op een gewone pc, maar je hebt dan nog altijd geen OS X...
Toch al goed dat ze na enkele maanden :D apple toch iets laten weten, maar het blijft gering want voor Desktop blijkt dit dus minder erg te zijn.
Ja, het is minder erg omdat er denk ik niet veel personen zijn die het leuk vinden om onschuldige desktop-gebruikers te "hacken" dmv. exploits die mogelijk uitgevoerd kunnen worden door deze fouten.

Verder vind ik deze vier fouten heel erg marginaal. Als Microsoft haar Windows broncode zou uitbrengen, zouden daar minstens net zo veel fouten in zitten ;)
De reden dat deze exploits minder erg zijn is dat men ervoor een shell moet hebben, oftewel telnet of SSH toegang.
Deze staat default uit en de firewall blokkeert het voor de desktop-versies, dus zijn gewone desktop gebruikers van OSX niet vatbaar, tenzij je extern een desktopgebruiker over kan halen zomaar shellscripts te downloaden en uit te voeren (ach, MSN is ook verkrijgbaar voor de mac-desktop, dus er is wel een zekere vorm van kwestbaarheid hiervoor ;) :P )

zonder deze exploit zou de desktopgebruiker dan slechts beperkte schade aan zijn eigen PC kunnen doen, omdat een gewone desktopgebruiker op OSX niet zomaar met rootrechten kan inloggen, (zoals op win-systemen veels te vaak wel het geval is...)
enkel via een extra authentificatie lukt het een GUI-gebruiker op OSX om processen met rootrechten uit te laten voeren, tenzij dus de hier beschreven exploit gebruikt wordt, die omzeilt die extra authentificatie...
Windows wordt ook voornamelijk door onschuldige desktop-gebruikers gebruikt.

En toch heb ik nog nooit iemand horen beweren dat daarom dit soort fouten minder erg zouden zijn.


Wat betreft het aantal fouten. Je moet je natuurlijk wel gaan afvragen hoe goed hun foutdetectie is geweest. Als het zo makkelijk was om fouten op te sporen, dan zou Microsoft intern ook wel even een auditje op hun code loslaten door de klup, en presto windows is ineens veilig.
Zo werkt het dus niet.
was eigenlijk voorspelbaar. volgens mij zullen er nu meer en meer fouten gevonden worden in de software van apple. de laatste tijd komen ze over als de meest geavanceerde en meest veilige, maar eens er meer mensen zullen mee werken, zullen ook hun gebreken duidelijk worden.

en zo wordt het mss weer wat stiller rond de veiligheidsproblemen met win xp.

en dan zal het weer wisselen.

besluit: iets dat uit zoveel code bestaat, bevat sowieso fouten.
Klopt, ons wordt op de opleiding ingepeperd dat een goede programmeur (en er zijn heel veel slechte programmeurs) ťťn fout per duizend regels code maakt.

Als je dus een stuk software van 4 miljoen regels code hebt, geschreven door meer of minder goede programmeurs, dan heb je toch ruim 4000 fouten daarin staan en geen test die ze er allemaal uitvist.
Er is natuurlijk wel een verschil tussen een fout en een bug.
Je kan 1000 regels schrijven en er 1 fout inmaken die door de compiler gevonden word of waardoor je hele programma niet werkt.

of je kan 1000 regels schrijven zonder fouten maar wel een bug omdat je ergens niet aangedacht hebt.
Nee dat gaat dus niet op. Met die stelregel bedoelen ze het aantal semantische fouten die een programmeur maakt, niet fouten in de syntax.

En er zijn extreem weinig programmeurs die zo weinig fouten maken in hun code. De meeste zitten veel hoger met hun fout ratio.
Leuke theorie waar op zich wat voor te zeggen is, echter je vergeet dat de BSD OS architectuur vanaf de grond af ontworpen is met veiligheid als hoge prioriteit, terwijl dit absoluut niet het geval is bij de verschillende MS OS'en die ontwerpen zijn met vooral functionaltieit als hoogste prioriteit en die vervolgens achteraf veilig gemaakt dienen te worden.

Ik ben dan ook overtuigd (als informatiebeveiliger overigens) dat er uiteindelijk veel minder security leaks in BSD zullen zijn t.o.v. Windows en dat deze ook veel minder ernstig zullen zijn.
het is altijd hetzelfde liedje: WIE ZOEKT DIE VINDT.

net zoals met een snelheidscontrole waardoor er plots 500 boetes meer worden uitgeschreven. Het aantal hardrijders zal er echt niet op vooruit gegaan zijn hoor.


wat erger is, is dat ze apple doodleuk NIET op de hoogte brengen, maar wel hun eigen klanten, net een black hat hackersgroep die exploits tussen haar members verdeeld, maar niet de getroffen bedrijven.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True