Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties
Bron: Apple

Iets minder dan twee weken na een patch voor een ernstige Safari-bug, heeft Apple een nieuwe systeemupdate op de wereld gezet die drie kwetsbaarheden van OS X aanpakt. De software is bedoeld om Safari te weerhouden van het automatisch openen van gevaarlijke bestanden die zich voordoen als ongevaarlijk. Daarnaast zorgt deze patch ervoor dat bepaalde documenten die JavaScript bevatten om de beveiliging van OS X te omzeilen, niet zomaar gedownload worden. Gebruikers moeten in deze gevallen eerst hun toestemming verlenen voordat het bestand wordt binnengehaald. Ook Apples Mail wordt onder handen genomen. Een tweede patch dient het gevaar op te lossen dat gebruikers liepen op een buffer overflow. Deze kon ontstaan nadat een speciale daarvoor gebouwde bijlage geopend werd. Mail kijkt na de update voortaan eerst of de grootte van bijlage-parameters overeenkomt met de verwachte grootte. Secunia heeft de op te lossen veiligheidsproblemen als 'extreem kritiek' bestempeld.

Naast de verbeteringen op het gebied van veiligheid, is de update ook bedoeld om enkele problemen op te lossen die ontstonden na de installatie van de vorige veiligheidsupdate. Safari bleek namelijk te strak afgesteld te staan, waardoor sommige veilige bestanden alsnog als gevaarlijk werden bestempeld. De patch zorgt ervoor dat dit probleem en de bijbehorende waarschuwingen tot het verleden behoren. Ook konden er na de update van begin maart problemen ontstaan bij het gebruik van SquirrelMail en bepaalde functies van de synchronisatietool rsync. De veiligheidssoftware wordt automatisch ge´nstalleerd via de updatevoorziening van OS X. Als alternatief kan de update ook gedownload worden vanaf de site van Apple.

Apple Mac OS X 10.4.4 - desktop van Canaria (klein)
Moderatie-faq Wijzig weergave

Reacties (25)

Daarnaast zorgt deze patch ervoor dat bepaalde documenten die JavaScript bevatten om de beveiliging van OS X te omzeilen, niet zomaar gedownload worden. Gebruikers moeten in deze gevallen eerst hun toestemming verlenen voordat het bestand wordt binnengehaald.
:?

Dit document bevat JavaScript om de beveiliging van OS X te omzeilen. Wilt u dit bestand downloaden?

Ja - Nee
gevaarlijke bestanden die zich voordoen als ongevaarlijk.
Ik ben een ongevaarlijk javascript bestand, en ik ga vooral NIET proberen om je beveiliging om zeep te helpen. Wil je me downloaden?

Ja - Nee
Ehhh, altijd nog beter dan het maar domweg te downen en te activeren/installen ................

En wees es eerlijk, als MS de overhand in je auto kreeg krijg je ook de vraag : U heeft zojuist een ongeval meegemaakt, wilt u de airbags gebruiken ? JA / NEE, weet u het zeker ? JA / NEE ........, daarna nog even akkoord gaan met de licentiebepalingen, blablabla.

OSX is groter en groter aan het worden, dus gaan ze net als MS steeds meer wind vangen, zoals hoge(re) bomen nou eenmaal doen. En dat betekend dat je gewoon moet blijven werken aan dit soort dingen. Niks vreemds aan, doen ze bij Apple en MS al jaren zo. Maar omdat het nu eindelijk es OSX is dat 'negatief' in de schijnwerpers gezet wordt, moeten er gelijk lachwekkende MS grappen omgezet worden naar OSX grappen.
Via de automatische update werd Safari werd niet goed gepatcht omdat ik Safari onder /Applications/internet/ heb staan. Pas na het verplaatsen van Safari.app naar /Applications/ werd hij goed gepatcht:

oude versie: Version 2.0.3 (417.8)
nieuwe versie na update: Version 2.0.3 (417.9.2)

Daarnaast had ik zowel iChat als Mail verwijderd, echter deze update probeert toch weer die applicaties neer te zetten. Het zijn evenwel niet uitvoerbare .app bestanden. Beetje slordig van Apple.
Nee beetje slordig van jou om in je systeem te morrelen :)
Pardon?
Waarom zou dat niet mogen?

Beetje update controleert of $file is waar die staan moet en geeft een foutmelding als ie $file niet vind.
Error handling is dus blijkbaar niet optimaal bij deze updates.
(ps: non-default installaties geven veel minder problemen onder windows, misschien moeten ze dat nog leren.
MS heeft natuurlijk veel meer ervaring met patchen :P)
Dat is mijn eeuwig weerkerende irritatie bij MacUpdate: het upgraden van applicaties in de Applications folder gebeurt niet, tenzij je ze zo hebt staan als mac ze eerst had gezet.

Da's erg-on-Mac-ig vind ik, laat mij het gewoon doen zoals ik wil want ik weet hoe ik programma's wil indelen. En dat is al jaren zo, bij elke MacOsX-versie totnutoe.

Meestal gooien ze er een hele nieuwe applicatie bovenop: als ik Applications/Internet maak en daar safari in zet, dan vind ik na update een gloednieuwe safari in Applications. (Idem quicktimeplayer, itunes, etc etc). Dus ik vind het raar dat dat niet gebeurt met deze update, maar dat het patchen (=doel van update) gewoon faalt in stilte?

\[/edit: De reden waarom je niet aan je systeem zou mogen morrelen, is de Mac-i-do, `the one true way', de eeuwenoude filosofie die onder het (one true) OS (to bring them all) schuilt :) : de hele consistente design/integratie filosofie die alles doet samenwerken moet je afblijven --- deze regel bijt met de andere regel dat mac je laat doen wat je wilt hoe je wilt zonder tegen je kar te rijden.]
Dat is mijn eeuwig weerkerende irritatie bij MacUpdate: het upgraden van applicaties in de Applications folder gebeurt niet, tenzij je ze zo hebt staan als mac ze eerst had gezet.
Dit is inderdaad een zwak puntje van Mac OS X. Het komt doordat de mac update archives eigenlijk bestaan uit een redelijk simpel copy maar raak scriptje. Het is een licht aangepaste versie van een redelijk oud systeem uit de BSD wereld.

Ik heb er tijden terug eens een artikel over gelezen. In grote lijnen is bovenstaande wat ik me ervan herinerde. Via Google kun je vast wel de details vinden.
Ikzelf draai nu SUSE Linux beta6 en elke irritatie die ik tegenkom kan ik bespreken op de mailinglist of in bugzilla invullen als 'aanvraag'. Ik denk dat Mac ook wel zoiets heeft en ik zou dus eens gaan zoeken...
o pardon
dan zit ik hier verkeerd zeker :-)
Een tweede patch dient het gevaar op te lossen dat gebruikers liepen op een buffer overflow
Ik dacht dat OSX zo goed in elkaar zat dat buffer overflows niet voor konden komen, of in in ieder geval niet misbruikt konden worden. Weer een illusie armer.
Uit TFA:
This could result in the execution of arbitrary code with the privileges of the user running Mail. This update addresses the issue by performing additional bounds checking.
Geen additionele privileges, dus.
update inmiddels geinstalleerd en het werkt goed geen rare problemen.

Mooi dat het gepatcht is!
ik vraag me af hoe lang het gaat duren voordat we windows achtige patch systemen krijgen.. laatste zondag an de maand OSX patch dag!
Er verschijnt elke maand wel zo'n patch en dit al jaren aan een stuk maar die haalden blijkbaar nooit de tweakers FP, terwijl macsites dit soort patches allang niet meer als voorpagina nieuws beschouwen.
Een punt is natuurlijk wel dat Windows een stuk wijder verbreid is dan OS/X. Dus zijn de patches automatisch veel kritieker dan die voor OS/X. En in dat licht is het eigenlijk raar dat Microsoft maar net zo weinig patcht als Apple.
terwijl macsites dit soort patches allang niet meer als voorpagina nieuws beschouwen.
Omdat er zoveel bugs zijn en dus ditto patches?
Safari bleek namelijk te strak afgesteld te staan, waardoor sommige veilige bestanden alsnog als gevaarlijk werden bestempeld.
MacAfee?
Kritieke bug gepatcht. what a message for the world! dat gebeurt al jaren met grote regelmaat, ook voor OSX. Interessanter wordt het pas wanneer het eerste OSX virus met dit soort bugs massaal schade aan gaat richten zoals 't I Love You virus.
Helemaal mee eens, dit is een nieuwsitem helemaal niet waard. Het hoort gewoon netjes als meukje in de meuktracker, daar waar ik 'm dus ook voor ge-submit had, en hij dus ook netjes geplaatst is:

meuktracker: Apple Mac OS X Security Update 2006-002

Om er dan nog een heel nieuwsitem aan te wijden.
De laatste tijd is security rond Mac os X helemaal "hot".
Vind het niet zo gek dat dit nieuws-item er is, gezien de recente gebeurtenissen in het achterhoofd.
Zeer gebruiks vriendelijk en veiligheid gaan schijnbaar niet echt samen .....

Jammer voor dit mooie OS. zo snel achter elkaar dit type bugs.

/edit
@Wieger
Als je, je system up to date houden ben je veilig voor de bekende en opgelosde bugs.
Eeh elk OS heeft bugs en dus ook security bugs.
OS X is als je m dus gewoon up to date houdt issie hardstikke veilig.

Iniedergeval veel veiliger dan alle risico's met een windoos pc.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True