Apple verhelpt 'Month of Apple Bug'-fouten

Apple heeft vier veiligheidsupdates voor Mac OS X uitgebracht, die volgens specialisten allemaal 'highly critical' zijn. Van de vier gepatchte fouten waren er exploits beschikbaar die waren gepubliceerd in het kader van de 'Month of the Apple Bugs'.

Apple logo (105 pix)De veiligheidsonderzoeker Kevin Finisterre was afgelopen januari de stuwende kracht achter de 'Month of the Apple Bugs' waarbij het streven was om elke dag van de maand een veiligheidsbug in het besturingssysteem van Apple te publiceren. Finisterre wordt dan ook genoemd in een van de security bulletins als de ontdekker van de fout. De fouten bevinden zich in diverse onderdelen van het besturingssysteem. Een van de meest ernstige fouten heeft betrekking op de bestandsbeheerder Finder waarin een bufferoverflow-vulnerability zit. Het IM- en videoconferencingprogramma iChat bevat twee veiligheidsfouten, waardoor het mogelijk is om de client te laten crashen door bepaalde berichten te sturen. De vierde fout bevindt zich in het onderdeel genaamd UserNotificationCenter. Deze fout maakt het mogelijk voor mensen die toegang hebben tot het lokale netwerk waarop ongepatcht Apple-systeem is aangesloten om bestanden te overschrijven. De ontdekte fouten zijn allemaal aanwezig in Mac OS X versie 10.4.8 en een aantal ook in 10.3.9. Er zijn nu nog een aantal niet-gepatchte veiligheidsfouten in het besturingssysteem die zijn ontdekt in het kader van de Month of the Apple bug. Wel heeft het bedrijf aangegeven dat het de meeste van deze fouten onderzoekt.

Door Martin Sturm

Nieuwsposter

Feedback • 16-02-2007 22:0523

16-02-2007 • 22:05

23 Linkedin

Bron: eWeek

Lees meer

Amerikaans leger gaat meer Apples gebruiken Nieuws van 1 januari 2008
Oud lek maakt herintrede in Apples Leopard Nieuws van 23 november 2007
Safari-bug ontdekt tijdens hack-wedstrijd Nieuws van 21 april 2007
Mac OS X patch: 25 veiligheidsbugs verholpen Nieuws van 20 april 2007
Apple dicht 45 gaten met megapatch Nieuws van 14 maart 2007
Apple brengt kritieke patches voor iTunes en Quicktime Nieuws van 6 maart 2007
'Mac-gebruikers te laks met veiligheid' Nieuws van 21 februari 2007
Kritieke veiligheidsfout in Mac OS X ontdekt Nieuws van 11 januari 2007
Bug in afhandeling dmg-bestanden maakt Mac kwetsbaar Nieuws van 23 november 2006
Apple voorziet Mac OS X van update naar versie 10.4.8 Nieuws van 30 september 2006
Mac OS X 10.4.7 waarschijnlijk binnenkort beschikbaar Nieuws van 16 juni 2006
Meer producten en artikelen
Software

Reacties (23)

-Moderatie-faq
23
23
9
6
3
7
Wijzig sortering
DRvDijk
16 februari 2007 22:49
Ik geloof dat dat deze update van vannacht in de meuktracker betreft
Q
16 februari 2007 22:13
Dat is met ongeveer een maand tijd niet zo'n slechte score kwa snelheid, vergeleken met andere bedrijven.

Veel van de bugs betroffen overigens third-party applicaties, maar deze bugs waren niet mals.
T-men
@Q17 februari 2007 10:00
....elke dag van de maand een veiligheidsbug in het besturingssysteem van Apple te publiceren.
Dat betekend dus niet dat ze deze maand pas zijn begonnen met zoeken. Sommige bugs zijn al lager bekend, alleen nog niet bij (het grote) publiek. (en niet bij Apple dus :+)
mcdronkz
16 februari 2007 22:20
Het zegt IMHO wel genoeg als er een zelfs een maand gewijd moet worden aan fouten met betrekking tot Apples software. Zou een nobel streven voor Microsoft zijn.
MrNOnamE
@mcdronkz16 februari 2007 22:29
Ik denk dat een hoop mensen zich verkijken op hoe moeilijk het is om een bug te fixen. Een simpele bug in bijvoorbeeld een Finder (apple) of verkenner (windows) is misschien heel makkelijk te fixen. Echter moet het wel zo gemaakt worden dat alle programma's die op die machine staan blijven werken. Als een programma toevallig net gebruikt maakt van een stuk programmatuur waarin een bug zit, en je gaat die programmatuur aanpassen, kan het zijn dat een programma het opeens niet meer doet. Hoe meer mensen een OS gebruiken hoe meer er rekening mee gehouden moet worden met het dichten van een lek.

Een hoop bedrijven zijn bijvoorbeeld nog lang niet over naar SP2 (windows). Dit puur omdat een hoop (vaak speciaal ontwikkelde programma's) niet werken. Dus de snelheid waarmee een lek gedicht word kan je niet altijd bij de maker van het OS leggen.
mcdronkz
@MrNOnamE16 februari 2007 22:33
Ik doelde meer op het feit dat Apple een dusdanig goed besturingssysteem ontwikkeld heeft dat er eigenlijk vrijwel nooit bugs gevonden worden, en er nu een maand georganiseerd moet worden om wat bugs boven tafel te krijgen.

Niets mis mee, zo wordt Mac enkel beter.
Nijn
@mcdronkz16 februari 2007 22:36
Of Apple een dusdanig laag marktaandeel heeft dat de echte hackers zich niet bekommeren om Apple.

(Waarom heb ik het idee dat ik de Apple community over me heen ga krijgen...)
Luuk1983
@mcdronkz16 februari 2007 22:55
Daar doet niets aan het feit af dat er dus meer dan genoeg bugs in zitten. Het feit dat er niet zoveel gevonden worden vind ik niet raar met zo'n laag marktaandeel. Ik zou het pas mooi vinden als d'r daadwerkelijk ondanks een 'month of bugs' weinig tot niets gevonden wordt. Maar het feit blijft dat als er gezocht wordt er genoeg gevonden wordt. Bij Windows worden deze eerder gevonden omdat er heel veel meer gebruikers mee werken.
Little Penguin
@mcdronkz16 februari 2007 22:40
Of Apple een dusdanig laag marktaandeel heeft dat de echte hackers zich niet bekommeren om Apple.
Hm :)
Goeie!

Toch vraag ik me af in hoeverre dat ook zo is, natuurlijk is het voor crackers (virusschrijvers, spyware etc) interessanter om naar bugs in Windows te gaan zoeken - tenminste als je een zo hoog mogelijke verspreidingsratio wil hebben...

Overigens zou jouw redenering wel betekenen dat er voor een product als Apache meer bugs gevonden moeten worden dan voor IIS - dat laatst wordt tenslotte een stuk minder gebruikt...
Q
@mcdronkz16 februari 2007 22:41
Waarom moeten mac-gebruikers altijd onwaarheden verkondigen over mac os x?

Er worden regelmatig security issues gerapporteerd in os x en direct verwante software zoals quicktime, itunes etc.

De moab was meer om aan te tonen dat met een beetje moeite er best een hoop shit te vinden is in mac os x en aanverwante apps.

Als medemaccer zeg ik: reken jezelf qua security etc niet te rijk met een mac. Een mac is geen vervanging van gezond verstand.
mcdronkz
@mcdronkz16 februari 2007 22:58
De gemiddelde mens die met Windows werkt heeft geen flauw benul van eventuele bugs en dergelijke, dus dat is IMHO een aardig non-argument.
Anoniem: 133254
@mcdronkz16 februari 2007 23:15
Qua community over je heen krijgen: dacht je dan dat het een originele opmerking was ofzo :? ? Ah, blijkbaar heb je het aan het juiste eind...

Fijn dat je je eigen post als `troll' classeert.
Anoniem: 180245
@mcdronkz16 februari 2007 23:58
In dit geval is het ook nog eens zo dat het vooral grafische designers zijn die werken op Apple's in een professionele sfeer. Zij werken met redelijk gestandaardiseerde software (InDesign, Illustrator, Photoshop of Quark Xpress).

De meeste bedrijven werken verder gewoon op windows en er zijn dus ook meer speciaal geschreven software paketten voor Windows, waarbij dus die bug fixes op die manier een grotere rol spelen.

Edit: toevoeging gebruikte software
Anoniem: 148116
@mcdronkz17 februari 2007 00:45
Onder de motorkap van mac os x zit FreeBSD had ik gelezen. Qua security zit je dus wel goed, zolang je die buggy iNogwat software niet met rootrechten draait. En nee ik ben geen mac gebruiker, wel een UNIX fan.
catfish
@mcdronkz17 februari 2007 09:48
@Little Penguin
ik ben er anders vrij zeker van
neem nu bv MS Office, om de haverklap duiken 0day exploits op voor Excel, Word,...
nu gebruik ik zelf nogal veel programma's als AutoCAD (Autodesk) en ArcView (ESRI), beide nogal grote programma's
nu kan je zeggen wat je wil, maar de kans dat daar dan opeens geen of nauwelijks bugs in zitten lijkt mij wel heel klein
ik besluit dus dat hackers gewoon geen tijd steken in bv Autodesk, wat ook logisch is aangezien er te weinig gebruikers zijn
The - DDD
@mcdronkz17 februari 2007 13:24
iMaarten:

En naast grafische designers heb je ook nog de technisch georienteerde mens en natuurlijk mensen met een Mac om een willekeurige reden.

Op conferenties valt het me altijd op hoe ontzettend veel mensen er met een Apple rond lopen. Ok, het is niet de helft, maar toch zeker vaak meer dan 1 op de 10.

( Zelf heb ik een Apple omdat ik wel een unix gebaseerd systeem wil maar verder geen gezeik wil met zelf alles moeten installeren en compileren. Heb het wel is gedaan en mijn ervaring is dat ik niet de tijd en moeite er in wil steken om het precies goed te krijgen.)
Little Penguin
@MrNOnamE16 februari 2007 22:37
Hoewel je altijd afhankelijkheden zal blijven houden, kun je de complexiteit van de dependencies wel inperken. Apple heeft volgens mij minder last met de diverse afhankelijkheden dan Microsoft.

Apple is namelijk met Mac OS X weer (bijna) helemaal opnieuw begonnen met het maken van een besturingssysteem (hoewel weer wel gebaseerd op bestaande code - Mach en *BSD bijvoorbeeld) en kon toen de draad naar het MacOS 9 (en lager) verleden vrijwel geheel doorknippen.

Microsoft heeft echter last van compatibiliteit tot aan Windows '95 en heeft tot op heden niet echt moeite gedaan om hier een eind aan te maken (uiteraard mede vanuit financiele overwegingen), gevolg is wel dat het over het algemeen voor MS moeilijker is om een bug te fixen in het OS dan Apple.

Bij het fixen van een bug blijf je overigens altijd zitten met het testen en dat kost natuurlijk tijd. Hier is eigenlijk niets aan te veranderen...
Duerf
@Little Penguin16 februari 2007 23:56
Apple is namelijk met Mac OS X weer (bijna) helemaal opnieuw begonnen met het maken van een besturingssysteem (hoewel weer wel gebaseerd op bestaande code - Mach en *BSD bijvoorbeeld)
Kleinigheidje: De eerste versie van Max OS X was een directe port van NeXTStep NeXTStep was ontwikkeld voor de NeXT en was een schil om BSD en Mach, en de belangrijkste reden om NeXT op te kopen in 1996. De andere reden was natuurlijk de terugkeer van Steve Jobs.
Patriot
@mcdronkz16 februari 2007 22:33
Patch Tuesday is toch ook maandelijks?
sapphire
@mcdronkz16 februari 2007 22:26
"Century of the Microsoft Bug" :+

inkoppertje ;)
Chris_eBK
17 februari 2007 12:17
waarbij het streven was om elke dag van de maand een veiligheidsbug in het besturingssysteem van Apple te publiceren
Niet helemaal juist. Ze hebben niet alleen bugs van OS X gepubliceerd, maar ook van allerlei software op OS X. Zo werd bijvoorbeeld op dag 2 een lek in VLC openbaar gemaakt (zie MOAB).
mashell
@Chris_eBK17 februari 2007 12:44
Maar misschien was het wel een streven om Apple bugs te vinden, maar wou het niet lukken en hebben ze de scope verruimd naar de applicaties.
Karel VH
@mashell17 februari 2007 13:09
Als ze op dag 2 al geen apple bug meer vinden, waren ze er beter nooit aan begonnen :+

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee