Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 30 reacties
Bron: ZDNet UK

Zoals de meeste Mac OS X-gebruikers inmiddels wel zullen hebben gemerkt heeft Apple een security-update vrijgegeven voor Mac OS X 10.4.3 en 10.3.9. De update heeft de status 'highly critical' en verhelpt in totaal meer dan twaalf veiligheidsfouten. De veiligheidsproblemen hebben betrekking op de webserver Apache 2, de library Curl en de Safari-browser. De grootste veiligheidsproblemen zaten in Curl en de PCRE-library die gebruikt wordt door de JavaScript-engine van Safari. De problemen varieerden van de mogelijkheid om een denial-of-service-attack uit te voeren op een ongepatcht systeem tot het volledig overnemen van het systeem.

Curl is een library die gebruikt wordt voor het downloaden en uploaden van bestanden over een groot aantal protocollen zoals HTTP, HTTPS, FTP en SFTP. De veiligheidsfout in dit deel van Mac OS X stelt websites in staat om programmacode uit te voeren op het systeem waarop de browser draait. Ook in Apple's WebKit zitten veiligheidsfouten. De boundary value-fouten in WebKit maken bufferoverflow-exploits en denial-of-service-attacks mogelijk, met als gevolg dat het systeem kan worden overgenomen door ongeautoriseerde personen. Apache 2 bevat een fout in de verwerking van HTTP-headers, waardoor bepaalde firewalls hun functie verliezen wanneer Apache als webproxy wordt gebruikt. Daarnaast bevat mod_ssl een fout waardoor eveneens de omzeiling van veiligheidsbeperkingen mogelijk is. Een gedetailleerde beschrijving van de fouten die de patch oplost is te vinden op Secunia.

Safari 2
Moderatie-faq Wijzig weergave

Reacties (30)

Ik vind het eerlijk gezegd een beetje flauw van de T.net redactie dat er wordt gekopt met "Apple brengt 'kritieke' patches uit". Bij ieder willekeurig Microsoft bericht zouden deze aanhalingstekens ontbreken, terwijl de strekking van het verhaal in wezen hetzelfde is. In mijn ogen zou de Tweakers redactie zich niet moeten laten beinvloeden door de publieke opinie en nieuws over wat voor bedrijf dan ook op een objectieve manier brengen.
Ik wil je er even op wijzen dat de meest bugs in Microsoft producten helemaal niet gemeld worden op Tweakers.net. Alleen ernstige veiligheidsfouten worden gemeld. Tweakers.net probeert zo objectief mogelijk te zijn en zal daarom geen bedrijf een voordeel geven in de berichtgeving tegen over de concurrentie. Daarnaast wordt het meeste nieuws gebaseerd op berichten op andere sites en wordt een beoordeling of mening van die bron wel meegenomen indien deze relevant is en onderbouwt.
De aanhalingstekens rond kritiek staan er juist omdat het is overgenomen van een andere site (in dit geval secunia) en geen oordeel van de redactie zelf is.
Ze zijn echt wel minder 'kritiek' dan de meeste Windows patches. De meste bugs zitten in Curl en Apache, wat allebei 3th party programma's zijn. Alleen de bug in WebKit is wat serieuzer.
Als jij dit als minder kritiek wil beoordelen mag dat: "Ook in Apple's WebKit zitten veiligheidsfouten. De boundary value-fouten in WebKit maken bufferoverflow-exploits en denial-of-service-attacks mogelijk, met als gevolg dat het systeem kan worden overgenomen door ongeautoriseerde personen.". Feit is dat op T.net een extreme anti microsoft cultuur heerst. Wanneer dit bericht over microsoft zou gaan, waren de eerste posts met de berichten: "Wat een bagger systeem is dat toch dat windows en er zal vast wel niet goed getest zijn. Heeft iemand er ooit al wel eens aan gedacht dat er minder bugs gevonden worden in MacOS X vooral omdat er weinig mensen zijn die moeite doen om exploits te vinden en deze ook te gebruiken? Niet gevonden bugs worden niet opgelost, want niemand weet ervan. Dus het zou best eens zo kunnen zijn dat er op het moment van spreken meer lekken in MacOS x zitten dan in XP, alleen zal geen hond daar ooit achterkomen.
Normaal gesproken zou ik het met je eens zijn, ware het niet dat het gewoon een feit is, en dus objectief. Je mag van mij wel even een count doen op het aantal positieve en negatieve reacties over Microsoft, maar ik ben bang dat mijn verhaal gewoon overeind blijft. Daarbij, ook al zou ik de term 'Feit is' vervangen door 'Ik vind', de strekking van het verhaal zal niet wezenlijk veranderen, die is namelijk: Een systeem waar minder gezocht wordt naar exploits zal uiteindelijk minder zichtbare bugs opleveren. Vergelijk het met een programma die je 3 jaar intensief gebruikt of een programma dat je een dag gebruikt. Er zullen 'hoogst waarschijnlijk' meer bugs gevonden worden in het programma dat je 3 jaar gebruikt.

Overigens: Mooie volzin (wollen in vaktermen) (helaas wel een paar spelfouten, maar daar ben ik zelf ook niet vies van) :+
De problemen varieerden van de mogelijkheid om een denial-of-service-attack uit te voeren op een ongepatcht systeem tot het volledig overnemen van het systeem.
"Apple brengt 'kritieke' patches uit"

De kop doet vermoeden dat niet om kritieke patches gaat. Als je bovenstaande quote leest dan is het wel degelijk HEEL kritiek. |:(
Apple en patchen? Ik dacht dat Mac OSX een perfect besturingssysteem was? :*) Zo brengen de meeste Mac-gebruikers het tenminsten..
Functioneel kan het ook best perfect zijn voor velen. Dat er in een paar miljoen lines of code wat fouten sluipen, in dit geval in 3rd party software, dat kan gebeuren, denk je niet?
Alleen voor 10.3.9 en 10.4.3, oftewel alleen voor de laatste versies. Als je nog 10.2.x draait, omdat je geen zin had om te investeren heb je dus pech? Of zit daar het probleem niet in?
Dat denk ik wel, omdat het om voornamelijk om componenten gaat die nog niet aanwezig waren in OS X 10.2.x.

Maar goed, het update proces is wel wat plezieriger dan Windows. Nu zal ik door het aanschaffen van een Mac wel automatisch Mac fan geworden zijn, maar het feit blijft dat ik me na een aantal maanden nog geen enkel moment heb geirriteerd aan OS X.
Je kunt het ook zien als het volgende:

Ook bij de ontwikkeling van MAC OS X zijn er gaten ontstaan in de beveiliging.
Een goed dat het is verholpen.

Ook zij maken dus fouten, maar de grootste fout zijn nog altijd de mensen die msibruik maken van de situatie. En dat geldt voor MS en MAC OS producten.

Waarom deze bedrijven de schuld geven terwijl het andere personen zijn die je op zadelen met problemen.

Dat is hetzelfde als een autofabrikant en een wapenconstructeur de schuldgeven van een drive-by shooting in de buitenwijken van Los Angelos
Dat bewijst maar dat geen enkel systeem bug loos is. En ook al ben je een goede programeur C of C++ is zo erg moeilijk en uitgebreid dat je wel eens iets over het hoofd ziet. Maar over het algemeen is het nog redelijk knap dat Apple (bijna) nooit in het nieuws komt met bijvoorbeeld iets van een bug, in vergelijken met windows (Niet als flame bedoeld!).
Komt voornamelijk vanwege het feit dat Windows veel meer gebruikt wordt.

In alles wat een mens doet zitten fouten. Fouten maken is menselijk :) Het is alleen maar mooi dat men probeert die fouten te verbeteren.

denk ik
Mja, maar het gaat het om toch ook om de manier waarop. Case in point:

1) patchen van Mac OSX is niet meer dan in het apple menu op 'Software update' te klikken. Gewoon updates binnenhalen en installeren en herstarten indien nodig. Dat proces duurt nog geen 10 minuten.

2) patchen van windows XP: via de windowsupdate.com website wat betekent een heel eind wachten eer ie je installatie gevalideerd heeft, binnen halen van patches, installeren, herstarten, nog meer patches binnen halen die eerst niet konden worden ge´nstalleerd, nog eens herstarten, ... Ja, gelukkig is er ook de functie "automatische updates" die veel werk uitspaart, maar Úcht zo superhandig als de updater in osx vind ik die nu ook niet bepaald. Het duurt toch allemaal een pak langer dan bij OSX. Het voordeel is wel dat je rustig kan verder werken terwijl ie alles nog aan het downloaden is.

3) patchen in linux: hangt af van je distro maar ver uit het eenvoudigste vind ik toch debian/ubuntu: apt-get dist-upgrade. Duurt wel even maar normaliter gaat alles volautomatisch. Je moet zelfs niet ÚÚns herstarten! Over RPM's zwijg ik zedig want dat is eigenlijk een absolute ramp imho. Ja, er is wel yum of de suse package manager, maar toch... En dan is er nog emerge in Gentoo die het toch ook niet zo slecht doet.

Nu ja, ik denk dat je makkelijk een boek kan schrijven eer je een genuanceerde vergelijking hebt tussen de drie. Dit is louter een vaststelling in mijn eigen persoonlijke ervaring.
Patchen in XP is helemaal niks meer hoeven doen als je dat zo hebt ingesteld. Alles gaat vanzelf. Kan het makkelijker?
Ik heb net een weekje een nieuwe iMac G5, maar het updaten van Mac OS X is net zo complex of eenvoudig als bij Windows XP als je voor automatische updates kiest.

Bij Linux is herstarten alleen nodig als je een nieuwe kernel wilt activeren, of ik moet sinds de laatste 7 jaar iets goed fout doen. Ik update mijn Fedora machines met yum ... niets complex aan, alleen even een terminal openen, jezelf opwaarderen naar superuser, en 'yum update' in typen. Een keertje Y(es) indrukken en gaan met die banaan.
Het punt is denk ik dat Mac OSX al heel lang (ben ingestapt bij 10.2) een automatische update heeft. Hierdoor gaan updates bij Mac al lang geruisloos.
Microsoft heeft dat naar mijn ervaring nog niet zo lang in orde.

Een ander punt is dat ik geneigd ben MS minder te vertrouwen, omdat ik bij hen banger ben dat mijn user instellingen (firewall, bookmarks, default browser etc) veranderd worden.
Dat is meer omdat mensen bij elk probleem met windows gerelateerde software heel hard "OMG M$ SUX lol" roept. Uiteraard hoeft apple ook niet in het nieuws te komen voor een apache update, aangezien dat grotendeels de verantwoordelijkheid is van de apache foundation. En als er inderdaad grote problemen met open-source software zijn, dan wordt het pakket genoemd en wordt er niet een distributeur uitgepikt om die eens lekker zwart te maken. En als je dan ook nog de impact van problemen in windows vergelijkt met apple dan is Apple nauwelijks een nieuws-item waard vergleken met dezelfde fout in een microsoft product.
Het is niet te hopen dat het er veel gaan worden. Dan ben je verplicht de SP (of hoe heet dat bij Apple) te kopen. Anders blijf je losse onderdelen installeren.
Ik vraag me altijd wel af hoe kritiek die patches eigenlijk wel niet zijn. "Kritiek" is namelijk een sterke uitdrukking, dus dan moet er wel wat aan de hand zijn lijkt me?

Dus waarom niet bij de eerste de beste oplossing een patch de wereld insturen? Of ontdekt (en vinden ze er een oplossing voor) Apple er 12 op ÚÚn dag?
De hoeveelheid patches die eruit gaan zeggen niets over de veiligheid van een systeem, maar over de aandacht die een leverancier besteed aan het proces rond patch ontwikkeling.
apple en kritieke patches, dat hoor je ook niet vaak
Ik snap ook niet echt wat hier nieuws aan is, dit is gewoon een maandelijkse security update van Apple, en er zitten elke maand wel kritieke patches in.

edit: bijna elke maand, dit is de 9de van 2005.
Het is idd al een hele tijd bekend:
- mod_ssl: 12 september gefixt in Debian
- pcre: 2 septeber gefixt in Debian
- curl: weet ik zo niet, geen DSA over gezien
- apache: 8 september gefixt in Debian
- OpenSSL: 27 oktober gefixt in Debian

Niet dat Debian zo'n heilige distro is op security update gebied, maar om even aan te geven dat Apple zeker niet een heilig boontje is met deze security updates: op bovengenoemde datums lagen de securityfixes voor exact dezelfde bugs in gewone linuxdistributies nml al gewoon op straat, zo voor het oprapen.
En dus voor apple ook, alleen niet in de auto updater. Handmatig de source patchen kan natuurlijk altijd.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True