Apple brengt 'kritieke' patches uit

Zoals de meeste Mac OS X-gebruikers inmiddels wel zullen hebben gemerkt heeft Apple een security-update vrijgegeven voor Mac OS X 10.4.3 en 10.3.9. De update heeft de status 'highly critical' en verhelpt in totaal meer dan twaalf veiligheidsfouten. De veiligheidsproblemen hebben betrekking op de webserver Apache 2, de library Curl en de Safari-browser. De grootste veiligheidsproblemen zaten in Curl en de PCRE-library die gebruikt wordt door de JavaScript-engine van Safari. De problemen varieerden van de mogelijkheid om een denial-of-service-attack uit te voeren op een ongepatcht systeem tot het volledig overnemen van het systeem.

Curl is een library die gebruikt wordt voor het downloaden en uploaden van bestanden over een groot aantal protocollen zoals HTTP, HTTPS, FTP en SFTP. De veiligheidsfout in dit deel van Mac OS X stelt websites in staat om programmacode uit te voeren op het systeem waarop de browser draait. Ook in Apple's WebKit zitten veiligheidsfouten. De boundary value-fouten in WebKit maken bufferoverflow-exploits en denial-of-service-attacks mogelijk, met als gevolg dat het systeem kan worden overgenomen door ongeautoriseerde personen. Apache 2 bevat een fout in de verwerking van HTTP-headers, waardoor bepaalde firewalls hun functie verliezen wanneer Apache als webproxy wordt gebruikt. Daarnaast bevat mod_ssl een fout waardoor eveneens de omzeiling van veiligheidsbeperkingen mogelijk is. Een gedetailleerde beschrijving van de fouten die de patch oplost is te vinden op Secunia.

Safari 2

Door Martin Sturm

Nieuwsposter

Feedback • 01-12-2005 22:09 30

01-12-2005 • 22:09

30

Bron: ZDNet UK

Lees meer

Bug in afhandeling dmg-bestanden maakt Mac kwetsbaar
Bug in afhandeling dmg-bestanden maakt Mac kwetsbaar Nieuws van 23 november 2006
Mac OS X 10.4.7 waarschijnlijk binnenkort beschikbaar
Mac OS X 10.4.7 waarschijnlijk binnenkort beschikbaar Nieuws van 16 juni 2006
Nokia maakt broncode van S60-browser openbaar
Nokia maakt broncode van S60-browser openbaar Nieuws van 25 mei 2006
Software biedt noodoplossing tegen exploits
Software biedt noodoplossing tegen exploits Nieuws van 1 mei 2006
Onderzoek: Apache marktleider voor secure servers
Onderzoek: Apache marktleider voor secure servers Nieuws van 28 april 2006
Update beschikbaar voor 'extreem kritieke' bugs OS X
Update beschikbaar voor 'extreem kritieke' bugs OS X Nieuws van 14 maart 2006
Apple kondigt iMac en MacBook met Intel-processors aan
Apple kondigt iMac en MacBook met Intel-processors aan Nieuws van 10 januari 2006
Microsoft stopt ondersteuning IE voor de Mac
Microsoft stopt ondersteuning IE voor de Mac Nieuws van 19 december 2005
Veiliger alternatief voor SSL-certificaten in de steigers
Veiliger alternatief voor SSL-certificaten in de steigers Nieuws van 12 december 2005
Mac OS X x86 10.4.3. gekraakt, driverupdates inside
Mac OS X x86 10.4.3. gekraakt, driverupdates inside Nieuws van 23 november 2005
Lek FEAR kan voor DoS-attack gebruikt worden
Lek FEAR kan voor DoS-attack gebruikt worden Nieuws van 27 oktober 2005
OS X-securitypatch beïnvloedt werking 64-bit applicaties
OS X-securitypatch beïnvloedt werking 64-bit applicaties Nieuws van 18 augustus 2005
Mac OS X op x86-hardware een feit
Mac OS X op x86-hardware een feit Nieuws van 11 augustus 2005
Meer producten en artikelen
Software

Reacties (30)

-Moderatie-faq
30
25
15
7
0
4
Wijzig sortering

Sorteer op:

Weergave:
daniel_ev 1 december 2005 22:18
Ik vind het eerlijk gezegd een beetje flauw van de T.net redactie dat er wordt gekopt met "Apple brengt 'kritieke' patches uit". Bij ieder willekeurig Microsoft bericht zouden deze aanhalingstekens ontbreken, terwijl de strekking van het verhaal in wezen hetzelfde is. In mijn ogen zou de Tweakers redactie zich niet moeten laten beinvloeden door de publieke opinie en nieuws over wat voor bedrijf dan ook op een objectieve manier brengen.
AuteurMartin Sturm @daniel_ev2 december 2005 10:08
Ik wil je er even op wijzen dat de meest bugs in Microsoft producten helemaal niet gemeld worden op Tweakers.net. Alleen ernstige veiligheidsfouten worden gemeld. Tweakers.net probeert zo objectief mogelijk te zijn en zal daarom geen bedrijf een voordeel geven in de berichtgeving tegen over de concurrentie. Daarnaast wordt het meeste nieuws gebaseerd op berichten op andere sites en wordt een beoordeling of mening van die bron wel meegenomen indien deze relevant is en onderbouwt.
De aanhalingstekens rond kritiek staan er juist omdat het is overgenomen van een andere site (in dit geval secunia) en geen oordeel van de redactie zelf is.
praseodymium @daniel_ev1 december 2005 22:24
Ze zijn echt wel minder 'kritiek' dan de meeste Windows patches. De meste bugs zitten in Curl en Apache, wat allebei 3th party programma's zijn. Alleen de bug in WebKit is wat serieuzer.
Verwijderd @praseodymium2 december 2005 08:55
Als jij dit als minder kritiek wil beoordelen mag dat: "Ook in Apple's WebKit zitten veiligheidsfouten. De boundary value-fouten in WebKit maken bufferoverflow-exploits en denial-of-service-attacks mogelijk, met als gevolg dat het systeem kan worden overgenomen door ongeautoriseerde personen.". Feit is dat op T.net een extreme anti microsoft cultuur heerst. Wanneer dit bericht over microsoft zou gaan, waren de eerste posts met de berichten: "Wat een bagger systeem is dat toch dat windows en er zal vast wel niet goed getest zijn. Heeft iemand er ooit al wel eens aan gedacht dat er minder bugs gevonden worden in MacOS X vooral omdat er weinig mensen zijn die moeite doen om exploits te vinden en deze ook te gebruiken? Niet gevonden bugs worden niet opgelost, want niemand weet ervan. Dus het zou best eens zo kunnen zijn dat er op het moment van spreken meer lekken in MacOS x zitten dan in XP, alleen zal geen hond daar ooit achterkomen.
Verwijderd @Verwijderd2 december 2005 11:52
Normaal gesproken zou ik het met je eens zijn, ware het niet dat het gewoon een feit is, en dus objectief. Je mag van mij wel even een count doen op het aantal positieve en negatieve reacties over Microsoft, maar ik ben bang dat mijn verhaal gewoon overeind blijft. Daarbij, ook al zou ik de term 'Feit is' vervangen door 'Ik vind', de strekking van het verhaal zal niet wezenlijk veranderen, die is namelijk: Een systeem waar minder gezocht wordt naar exploits zal uiteindelijk minder zichtbare bugs opleveren. Vergelijk het met een programma die je 3 jaar intensief gebruikt of een programma dat je een dag gebruikt. Er zullen 'hoogst waarschijnlijk' meer bugs gevonden worden in het programma dat je 3 jaar gebruikt.

Overigens: Mooie volzin (wollen in vaktermen) (helaas wel een paar spelfouten, maar daar ben ik zelf ook niet vies van) :+
TheBorg @daniel_ev1 december 2005 23:02
Ik vind je reactie ietwat overdreven. Bovendien:
'Extreem kritieke' buffer-overflowbug iframes IE
Darkprince1234 1 december 2005 22:22
De problemen varieerden van de mogelijkheid om een denial-of-service-attack uit te voeren op een ongepatcht systeem tot het volledig overnemen van het systeem.
"Apple brengt 'kritieke' patches uit"

De kop doet vermoeden dat niet om kritieke patches gaat. Als je bovenstaande quote leest dan is het wel degelijk HEEL kritiek. |:(
gamepower2005 1 december 2005 22:27
Apple en patchen? Ik dacht dat Mac OSX een perfect besturingssysteem was? :*) Zo brengen de meeste Mac-gebruikers het tenminsten..
Dr. Strangelove @gamepower20051 december 2005 22:32
Functioneel kan het ook best perfect zijn voor velen. Dat er in een paar miljoen lines of code wat fouten sluipen, in dit geval in 3rd party software, dat kan gebeuren, denk je niet?
jqv 2 december 2005 09:15
Je kunt het ook zien als het volgende:

Ook bij de ontwikkeling van MAC OS X zijn er gaten ontstaan in de beveiliging.
Een goed dat het is verholpen.

Ook zij maken dus fouten, maar de grootste fout zijn nog altijd de mensen die msibruik maken van de situatie. En dat geldt voor MS en MAC OS producten.

Waarom deze bedrijven de schuld geven terwijl het andere personen zijn die je op zadelen met problemen.

Dat is hetzelfde als een autofabrikant en een wapenconstructeur de schuldgeven van een drive-by shooting in de buitenwijken van Los Angelos
Verwijderd 1 december 2005 22:27
Dat bewijst maar dat geen enkel systeem bug loos is. En ook al ben je een goede programeur C of C++ is zo erg moeilijk en uitgebreid dat je wel eens iets over het hoofd ziet. Maar over het algemeen is het nog redelijk knap dat Apple (bijna) nooit in het nieuws komt met bijvoorbeeld iets van een bug, in vergelijken met windows (Niet als flame bedoeld!).
Rhapsody @Verwijderd1 december 2005 22:37
Komt voornamelijk vanwege het feit dat Windows veel meer gebruikt wordt.

In alles wat een mens doet zitten fouten. Fouten maken is menselijk :) Het is alleen maar mooi dat men probeert die fouten te verbeteren.

denk ik
Netsensei @Rhapsody1 december 2005 23:13
Mja, maar het gaat het om toch ook om de manier waarop. Case in point:

1) patchen van Mac OSX is niet meer dan in het apple menu op 'Software update' te klikken. Gewoon updates binnenhalen en installeren en herstarten indien nodig. Dat proces duurt nog geen 10 minuten.

2) patchen van windows XP: via de windowsupdate.com website wat betekent een heel eind wachten eer ie je installatie gevalideerd heeft, binnen halen van patches, installeren, herstarten, nog meer patches binnen halen die eerst niet konden worden geïnstalleerd, nog eens herstarten, ... Ja, gelukkig is er ook de functie "automatische updates" die veel werk uitspaart, maar écht zo superhandig als de updater in osx vind ik die nu ook niet bepaald. Het duurt toch allemaal een pak langer dan bij OSX. Het voordeel is wel dat je rustig kan verder werken terwijl ie alles nog aan het downloaden is.

3) patchen in linux: hangt af van je distro maar ver uit het eenvoudigste vind ik toch debian/ubuntu: apt-get dist-upgrade. Duurt wel even maar normaliter gaat alles volautomatisch. Je moet zelfs niet ééns herstarten! Over RPM's zwijg ik zedig want dat is eigenlijk een absolute ramp imho. Ja, er is wel yum of de suse package manager, maar toch... En dan is er nog emerge in Gentoo die het toch ook niet zo slecht doet.

Nu ja, ik denk dat je makkelijk een boek kan schrijven eer je een genuanceerde vergelijking hebt tussen de drie. Dit is louter een vaststelling in mijn eigen persoonlijke ervaring.
Frank-L @Netsensei1 december 2005 23:29
Patchen in XP is helemaal niks meer hoeven doen als je dat zo hebt ingesteld. Alles gaat vanzelf. Kan het makkelijker?
Frank van Son @Netsensei2 december 2005 14:36
Ik heb net een weekje een nieuwe iMac G5, maar het updaten van Mac OS X is net zo complex of eenvoudig als bij Windows XP als je voor automatische updates kiest.

Bij Linux is herstarten alleen nodig als je een nieuwe kernel wilt activeren, of ik moet sinds de laatste 7 jaar iets goed fout doen. Ik update mijn Fedora machines met yum ... niets complex aan, alleen even een terminal openen, jezelf opwaarderen naar superuser, en 'yum update' in typen. Een keertje Y(es) indrukken en gaan met die banaan.
bastiaank @Netsensei2 december 2005 16:15
Het punt is denk ik dat Mac OSX al heel lang (ben ingestapt bij 10.2) een automatische update heeft. Hierdoor gaan updates bij Mac al lang geruisloos.
Microsoft heeft dat naar mijn ervaring nog niet zo lang in orde.

Een ander punt is dat ik geneigd ben MS minder te vertrouwen, omdat ik bij hen banger ben dat mijn user instellingen (firewall, bookmarks, default browser etc) veranderd worden.
4VAlien @Verwijderd2 december 2005 01:53
Dat is meer omdat mensen bij elk probleem met windows gerelateerde software heel hard "OMG M$ SUX lol" roept. Uiteraard hoeft apple ook niet in het nieuws te komen voor een apache update, aangezien dat grotendeels de verantwoordelijkheid is van de apache foundation. En als er inderdaad grote problemen met open-source software zijn, dan wordt het pakket genoemd en wordt er niet een distributeur uitgepikt om die eens lekker zwart te maken. En als je dan ook nog de impact van problemen in windows vergelijkt met apple dan is Apple nauwelijks een nieuws-item waard vergleken met dezelfde fout in een microsoft product.
Verwijderd 1 december 2005 22:22
Het is niet te hopen dat het er veel gaan worden. Dan ben je verplicht de SP (of hoe heet dat bij Apple) te kopen. Anders blijf je losse onderdelen installeren.
Roamor 1 december 2005 22:24
Ik vraag me altijd wel af hoe kritiek die patches eigenlijk wel niet zijn. "Kritiek" is namelijk een sterke uitdrukking, dus dan moet er wel wat aan de hand zijn lijkt me?

Dus waarom niet bij de eerste de beste oplossing een patch de wereld insturen? Of ontdekt (en vinden ze er een oplossing voor) Apple er 12 op één dag?
Verwijderd 1 december 2005 22:27
De hoeveelheid patches die eruit gaan zeggen niets over de veiligheid van een systeem, maar over de aandacht die een leverancier besteed aan het proces rond patch ontwikkeling.
Verwijderd 2 december 2005 10:31
Alleen voor 10.3.9 en 10.4.3, oftewel alleen voor de laatste versies. Als je nog 10.2.x draait, omdat je geen zin had om te investeren heb je dus pech? Of zit daar het probleem niet in?
Sgreehder @Verwijderd2 december 2005 10:46
Dat denk ik wel, omdat het om voornamelijk om componenten gaat die nog niet aanwezig waren in OS X 10.2.x.

Maar goed, het update proces is wel wat plezieriger dan Windows. Nu zal ik door het aanschaffen van een Mac wel automatisch Mac fan geworden zijn, maar het feit blijft dat ik me na een aantal maanden nog geen enkel moment heb geirriteerd aan OS X.
cc bcc @DropjesLover1 december 2005 22:21
apple en kritieke patches, dat hoor je ook niet vaak
Ik snap ook niet echt wat hier nieuws aan is, dit is gewoon een maandelijkse security update van Apple, en er zitten elke maand wel kritieke patches in.

edit: bijna elke maand, dit is de 9de van 2005.
_JGC_ @DropjesLover1 december 2005 22:32
Het is idd al een hele tijd bekend:
- mod_ssl: 12 september gefixt in Debian
- pcre: 2 septeber gefixt in Debian
- curl: weet ik zo niet, geen DSA over gezien
- apache: 8 september gefixt in Debian
- OpenSSL: 27 oktober gefixt in Debian

Niet dat Debian zo'n heilige distro is op security update gebied, maar om even aan te geven dat Apple zeker niet een heilig boontje is met deze security updates: op bovengenoemde datums lagen de securityfixes voor exact dezelfde bugs in gewone linuxdistributies nml al gewoon op straat, zo voor het oprapen.
TukkerTweaker @_JGC_1 december 2005 22:38
En dus voor apple ook, alleen niet in de auto updater. Handmatig de source patchen kan natuurlijk altijd.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq