Apple dicht 45 gaten met megapatch

Apple heeft een megapatch uitgebracht die maar liefst 45 gaten moet dichten, waaronder een aantal zero-day-lekken. Het is al de zevende pleister voor Mac OS X binnen drie maanden.

Mac OS X De patch herstelt niet alleen weeffouten in Apple's eigen software, maar ook bugs in programma's als Adobe Flash Player, MySQL en OpenSSH. Zestien patches zijn al eens eerder uitgebracht, deze patches hadden de stempel 'kritisch' gekregen en worden daarom nogmaals meegeleverd. Verder zijn acht gaten gepatcht in het mountmechanisme voor diskimages en ook is voor de tweede maal een kritisch gat in iPhoto dichtgemetseld. Hoewel een aantal fouten al langer bekend zijn, lijkt het er niet op dat een van de gaten ook actief misbruikt is. Gebruikers kunnen de megapatch ophalen via de Software Updates-feature of terecht bij onze meuktracker.

Reacties (54)

MahRain 14 maart 2007 18:41

Hoewel het niet gemeld wordt is dit waarschijnlijk gewoon Mac OS X 10.4.9, een update die niet direct bedoeld is om veiligheidsfouten op te lossen, maar ook een flink aantal bugs verhelpt. Vaak is .9 de laatste update van Apple's OS'en voordat er een nieuwe versie uitkomt zoals in de komende weken/maanden 10.5 Leopard.

Maurits van Baerle @MahRain • 14 maart 2007 18:49

"Vaak" is ook wat overdreven.

.9 is pas één keer de laatste versie geweest.

http://img364.imageshack....98/osxupdatestrendlp2.png

Verwijderd @MahRain • 15 maart 2007 00:32

en sinds wanneer is een bug geen veiligheidsfout ?
Het verliezen/beschadigen/onvrijwillig vrijgeven van gegevens (al dan niet bedrijfskritisch) is volgens mijn informatie nog steeds een risico omdat de beschikbaarheid/integriteit/confidentialiteit van de informatie in het gedrang brengt.

& wat de bron betreft : over een 0-day lek kan je in deze niet spreken. Een 0-day lek is een lek waarvan de informatie (vulnerability+exploit+evt. PoC code) wordt vrijgegeven voordat de maker v/d software hiervan op de hoogte werd gebracht. Als de vendor zelf met de patch komt hebben ze het gat ofwel zelf gevonden ofwel werd het hen door een researcher gemeld. En laat nu de full-disclosure discussie maar beginnen

Verwijderd @Verwijderd • 15 maart 2007 08:41

"en sinds wanneer is een bug geen veiligheidsfout?"

Typisch paniek-zaaiend, 9/11 denkwijze.

Een bug is GEEN veiligheidsfout. Het kan wel, maar dat is het niet per definitie. Een verkeerde werkwijze corrigeren, optimaliseren, enz., zijn allemaal bug-fixes. Dit is waar het om gaat bij deze software update.

Een opening laten waarbij misdadigers op je systeem kwaad kunnen kan een veiligheidsfout zijn, maar geen bug. Naast deze software update heeft Apple ook aparte security updates gedaan die enkele van deze zaken oplossen.

Het is belangrijk om de juiste terminologie te gebruiken. Dit is Tweakers, waar we dingen bij hun juiste naam kunnen noemen.

Verwijderd @Verwijderd • 15 maart 2007 09:03

een bug is een risico, met een mogelijke impact op de veiligheid van informatie. Dit heeft niks met FUD te maken en nog minder met een paniek-zaaiende, 9/11 denkwijze. Risico's zijn er om in te schatten, niet om te negeren.

straks gaan we anti-malware soft nog beveiliging noemen

Iblies @Verwijderd • 15 maart 2007 11:30

It's not a bug, it's a feature!

Waar heb ik die eens eerder gehoord

Een softwareontwikkelaar moet zeer terughoudend zijn met dergelijke "features" en moet bij zichzelf te rade gaan hoeveel schade een dergelijk feature kan hebben. Een simpel programmaatje die het hele systeem kan overnemen door bepaalde macro's kun je niet veroorloven.

el.gee 14 maart 2007 20:24

Voor alle duidelijkheid:
In dit artikel betreft het dus security-update 003. (13 maart 2007)
bruikbaar voor 10.3.9 EN update op 10.4.8 (zie *)
Voor een log van de dode beestjes ->
info: http://docs.info.apple.com/article.html?artnum=305214

En het lijstje voor 10.4.9 (die zeker de laatste 10.4.x update wordt, aangezien er in héél de poezen-familie nog nooit geen enkele boven de dot-9 is geweest)
info: http://docs.info.apple.com/article.html?artnum=304821
(*) De update van dot-8 naar dot-9 bevat bovenstaande security-003 update in zich.

Maurits van Baerle @el.gee • 14 maart 2007 20:45

Het is een beetje vreemd om te concluderen dat .9 de laatste moet zijn omdat er nog nooit eentje hoger is geweest. Die gevolgtrekking klopt niet.

Ooit was .4 de hoogste tot Apple er overheen ging met .5. Toen was .5 de hoogste tot Apple er prompt overheen ging met .8. Toen was .8 het hoogste ooit tot Apple er ineens overheen ging met .9

Kortom, concluderen dat de vorige laatste versie nu ook de laatste versie zou moeten zijn is tot nu in alle gevallen fout gebleken. Waarom zou het nu ineens wel kloppen?

Niet voor niets wordt er gespeculeerd dat er wel eens een 10.4.10 zou kunnen komen, zeker als Leopard inderdaad pas in Juni uitkomt en ze de traditionele laatste patch moeten doen om het oude en het nieuwe OS compatible te maken.

Als ze de trend voort zetten zou een .10 zelfs zeker zijn: http://img364.imageshack....98/osxupdatestrendlp2.png

el.gee @Maurits van Baerle • 14 maart 2007 20:59

@Maurits van Baerle:
jaja dat prentje ken ik zo ongeveer van buiten.
Een feit is: Leopard (10.5.0 GM) is er bijna. De developer builds (nu 9A377a) volgen elkaar op, op dezelfde manier als het met 10.4 was.
TIGER BUILDS:
30 Oct 2004 Build 8A294
09 Dec 2004 Build 8A323
07 Feb 2005 Build 8A369
18 Feb 2005 Build 8A385
25 Feb 2005 Build 8A393
23 Mar 2005 Build 8A420
31 Mar 2005 Gold master (=8A423) dacht ik
29 Apr 2005 Release

LEOPARD BUILDS:
01 Sep 2006 Build 9A241e
13 Oct 2006 Build 9A283
10 Nov 2006 Build 9A???
13 Dec 2006 Build 9A321
19 Jan 2007 Build 9A343
05 Mar 2007 Build 9A377a

Jaja, ze zijn er bijna. Halverwege (of eind) April 2007 schat ik. Heb ook al steeds geweten dat de laatste update steeds komt enkele maanden voor een nieuwe release. Plus, je kan geen vergelijk maken met de compatibiliteit tss Leopard en Tiger want Leopard barst nog van de debug-code en heb jij de laatste build (9A377a) van leopard aan de tand gevoeld (in samen gebruik met 10.4.9) ? denk het niet.
btw.: 9A377a heb ik wel liggen , goed!?
tjah, sorry, maar kom ambetant van dit soort reacties.

en vraagske:
Van waar haal jij die info dat 10.4.9 niet compatible is met Leopard build 9A377a ???

Red 14 maart 2007 17:56

Overigens gaat het hier om 10.3.9, wat niet heel veel meer gebruikt wordt.

Dus zegmaar een SP2 voor Windows ME..... Maar daar wordt dan weer niet over gerept in het artikel dat het om 10.3.9 gaat...

KeeZ @Red • 14 maart 2007 18:05

Ik heb ook gewoon een software update op 10.4... 10.4.9 met dezelfde ' updates'...

De 10.4.9-update wordt aanbevolen voor gebruikers van PowerPC- en Intel-Macs die momenteel werken met Mac OS X Tiger versie 10.4.8 en bevat algemene oplossingen voor problemen in het besturingssysteem, evenals specifieke oplossingen voor problemen of compatibiliteitsupdates die betrekking hebben op de volgende programma's en technologieën:

- Ondersteuning voor de RAW-camerastructuur
- Verwerken van grote of onjuist gevormde afbeeldingen die een crash kunnen veroorzaken
- Prestaties bij het vastleggen van beelden
- Scrolfuncties van de muis en toetscombinaties
- Lettertypeverwerking
- Afspeelkwaliteit en bladwijzers in Dvd-speler
- USB-camera's voor videoconferenties voor gebruik met iChat
- Bluetooth-apparaten
- Bladeren op AFP-servers
- Apple USB Modem
- Digitale certificaten die in Windows zijn aangemaakt
- Dialoogvensters voor openen en afdrukken in programma's die gebruikmaken van Rosetta op Intel-Macs
- Informatie over tijdzones en zomertijd voor 2006 en 2007
- Beveiligingsupdates

Arnage @KeeZ • 14 maart 2007 19:34

- Informatie over tijdzones en zomertijd voor 2006 en 2007

Zijn ze ook lekker op tijd mee

Wicket @Arnage • 14 maart 2007 20:51

Dat komt omdat de Amerikanen weer raar wouden doen, ipv in de laatste weekend van maart de zomertijd invoeren hebben de Amerikanen een paar weken geleden besloten om dat in de tweede weekend van maart in te voeren.

edit:
Het blijkt zelfs dat in Amerika op een ander moment de zomertijd begon. Het was in de eerste weekend van april en is nu in de tweede weekend van maart. Zie: http://nl.wikipedia.org/wiki/Zomertijd

Verwijderd @Red • 14 maart 2007 18:04

Nou, zo oud is 10.3.9 nog niet hoor! Vergelijking met Windows ME is onzin, eerder gewoon met XP SP2.

En denk ook dat je onderschat hoeveel mensen die versie hebben, nl. een heel groot deel van een ieder die een Mac kocht toen 10.3.x de laatste versie was.

Upgraden naar 10.4.x kost geld, en waarom zou je, want 10.3.x werkt gewoon heel prima. Da's toch wat Mac users ervaren, en de 'gewone' consumenten in die groep upgraden niet (vaak).

Maurits van Baerle 14 maart 2007 18:18

Het is inderdaad wel een beetje vreemd dat er niet staat dat dit een patch is voor een ouder OS en niet het huidige. De afgebeelde doos is ook die van de huidige en niet die van de oude.

"Panther", waar deze update voor bedoeld is, is in April 2005 opgevolgd door de huidige versie, "Tiger". De huidige versie staat inmiddels al op het punt om binnen een paar maanden opgevolgd te worden door "Leopard".

losealot @Maurits van Baerle • 14 maart 2007 18:22

de patch is weldegelijk ook beschikbaar voor 10.4 hoor

Maurits van Baerle @losealot • 14 maart 2007 18:27

Nee hoor, dat is hij niet. Ik denk dat je in de war bent met de 10.4.9 update die gisteren is uitgekomen.

Voor 10.3 (waar dit artikel over lijkt te gaan) is een patch met wat security fixes uitgebracht. Voor 10.4 is een forse algehele update (zeg maar een 'servicepack' in MS termen) van het OS uitgebracht. Dat zijn twee verschillende dingen.

Dreamvoid @Maurits van Baerle • 14 maart 2007 18:39

Uh, 10.4.9 is parallel met 10.3.9 uitgebracht en is qua impact toch echt vergelijkbaar. Het bevat ook veelal dezelfde fixes (plus idd extra fixes voor Tiger-only bugs).

Maurits van Baerle @Maurits van Baerle • 14 maart 2007 18:45

@Dreamvoid:
Laat ook maar zitten, het is geen wereldramp. Het is alleen een beetje slordig om twee verschillende OS-en en twee verschillende updates door elkaar te halen in één artikel alsof het over één patch en één OS gaat. Bovendien wijst de link dan naar een update voor een OS dat al twee jaar niet meer verkocht wordt en niet naar degene die verreweg de meeste mensen gebruiken.

10.4.9 is overigens niet parallel met 10.3.9 uitgebracht, 10.3.9 is al twee jaar uit.

Verwijderd @Maurits van Baerle • 15 maart 2007 12:44

Lees de andere commentaren. Heb je zelf een mac, dan merk je dat het `OOK voor het oudere X.3' is, waar het Tnet artikel suggereert dat het enkel `voor het oudere X.3'. Heb dezelfde security update gedaan, X.4.8 -> X.4.9.

Wat fair is, is dat apple er dus voor zorgt dat wie nog met X.3 rondloopt, dezelfde bescherming heeft (en ook tegen de fouten van Adobe). En niet met allerlei WGA-testjes en geknoei, maar gewoon het menuutje linksboven aanklikken en `software update' kiezen. Vlot.

Verwijderd 14 maart 2007 18:40

mooi werk van apple. niets ah toeval overlaten voor het imago, ook third party software patchen.

hopelijk nemen ze niet teveel hooi op hun vork wanneer ze ook nog eens bootcamp gaan ondersteunen om windows te draaien op mac. weer extra potentieel risico...

_JGC_ @Verwijderd • 14 maart 2007 19:26

Als je hele OS steunt op de 3rd party software zal je het wel moeten patchen ja. Daarnaast hebben de vele linux distributies de gaten in deze 3rd party software al een tijdje geleden gepatcht. Ik herinner me nog dat ik 3 security reports per dag van Debian in mijn mailbox had, waaronder de software die ze bij Apple nu ook weer gepatcht hebben.

lhoBas 14 maart 2007 18:45

Dit gaat niet over 10.4.9, dit gaat over de megapatch die is uitgebracht voor 10.3.9 (voor zover ik het bericht snap)

Gustaaf437 @lhoBas • 14 maart 2007 19:01

Klopt inderdaad. Apple doet het voor 10.3.9 allemaal in een keer.

Toch even over 10.4.9: Dit is zeker niet de laatste update voor Mac OS X 10.4, aangezien er nog wat compatibiliteitsproblemen inzitten in combinatie met Leopard.

Guru Evi @lhoBas • 14 maart 2007 19:00

Inderdaad correct, dat of de meuktracker EN Apple hebben een tikfoutje gemaakt.

Dit gaat over 10.3 mensen, een iewat ouder systeem, het equivalent van Windows XP ipv Windows Vista.

Verwijderd 14 maart 2007 18:05

grappig hoe meteen iedereen begint te vergelijken, nu er ook weer eens lekken van Apple aan het licht komen

Verwijderd @Verwijderd • 14 maart 2007 18:10

Ook grappig dat iedereen nu alleen maar blije dingen post, terwijl bij MS altijd meteen het hek van de dam is...

//edit @osc-dis//
Onzin? Just count the smileys...

Verwijderd @Verwijderd • 14 maart 2007 18:40

Ugh, wat voor onzin is dat nou weer. Apple patcht hier bugs waarvan het publiek nog niet eens wist dat ze bestonden, en een paar best kritische dingen. 45 in 1. Meestal gaan de posts over Windows en bugs niet over patchen, maar over het feit dat er weer eens een exploit is waarvan het ontieglijk lang duurt vooraleer 'ie gepatcht is. De onwillendheid van MS om bepaalde bugs te fixen is zeer droef.

Ik verwijs je voor de rest door naar Secunia, waar er 7% (7) van de bugs in OS X unresolved zijn, en 17% (33) bij Windows XP. Sommige van die laatste staan echt al een eeuwigheid gemarkeerd als unpatched, van 2004, 2003 en vroeger. En dan praten we nog niet over hoe kritiek die onopgelost bugs zijn...

fusion.fake @Verwijderd • 14 maart 2007 18:07

inderdaad, hoe wil je dit vergelijken als de gaten er in mindere maten voorkomen ?

Macler 14 maart 2007 17:54

Is 45 niet "weinig" ten opzichten van Microsoft heeft uitgebracht de laatste jaren??

Shaggy_NL @Macler • 14 maart 2007 17:57

Apple brengt daarintegen wel veel vaker zo'n grote plijster uit... in tegenstelling tot de SP's bij Microsoft.

n4m3l355 @Shaggy_NL • 14 maart 2007 18:04

De vraag is eerder hoeveel patches daadwerkelijk in zo'n SP zitten. MS geeft een tal van kritische aan, maar het is goed mogelijk dat men nog meer patched, daar waar wij niet eens van op de hoogte zijn.
Echter het is wel zo dat deze patch dan direct ook software van 3e lijkt te patchen, iets wat MS niet doet. Ik vraag me af hoe zoiets gaat eigenlijk aangezien het toch wel een aanpassing in diens software is.

Easy Rider @Macler • 14 maart 2007 18:00

Deze 45 gaten zijn niet de enige die apple ooit gedicht heeft lijkt me vrij duidelijk en logisch

Verwijderd @Macler • 14 maart 2007 17:56

Het zijn 45 patches meer danze doen voorkomen dat er nodig zijn, in hun reclames.

bigoldie @Verwijderd • 14 maart 2007 20:32

Bedoel je deze:
http://movies.apple.com/m..._ads1/viruses_480x376.mov

of een andere:
http://www.apple.com/getamac/ads/

iig, niks over patches...

DeArmeStudent @bigoldie • 15 maart 2007 11:00

Het vervelende van al die apple-ads is, dat ze nieuwe macintosh software vergelijken met meestal oude problemen van windows, die allang opgelost zijn...Nooit meer heb ik last van spyware, freezes, reboots en blue-screens op een standaard windows XP met SP2...dus dat is ouwe koeien uit de sloot halen...en dat vind ik jammer...want de 'oude' gebruikerservaring die ik opgedaan heb met een oude mac, heeft de meeste overeenkomsten met deze onderstaande clip, maar inmiddels zullen die mac-problemen ook wel opgelost zijn:
http://www.youtube.com/watch?v=iEAGmBRC1dc

XyritZz @Verwijderd • 14 maart 2007 18:50

Dan weet ik niet welke reclame jij hebt gezien, maar ze stellen in geen enkele dat OSX bugfree is.

Nielsvr 14 maart 2007 18:32

Vergeet niet dat er ook een aantal gaten van third party software gepatched wordt... Dat zie ik microsoft niet doen. Desalnietemin vind ik dit ook een redelijke grote pleister, heb hem wel gelijk geinstalleerd.

jkommeren @Nielsvr • 14 maart 2007 18:41

Vriend, het aantal 3rd party apps voor de pc is VELE MALEN groter dan voor de mac -> dus simpelweg niet te doen

MS doet het overigens wel: Java is in principe ook 3rd party, je wilt echt niet weten hoeveel gaten ze daarvan in IE hebben gedicht (bijvoorbeeld)

araminta @jkommeren • 15 maart 2007 12:27

Ik gok dat Apple het laat bij patches voor third party software die ze zelfgekozen distribueren, zoals Apache. Ik moet de eerste patch voor InDesign nog zien van ze. Daarin verschilt Apple in niets van Microsoft. Een mogelijk verschil is dat Microsoft Apache niet meelevert. Een patch derhalve ook niet.

Daarnaast verzorgt Apache de patch, en verwerkt Apple 'm. Ze patchen naar alle waarschijnlijk niet als eerste, maar laten het aan de open source community over, of aan de ontwikkelaar zelf.

timonb @Nielsvr • 14 maart 2007 18:39

MS moet gewoon de firewall zo strak aan aandraaien dat third party programma's niet kunnen lekken... Dan los je tenminste het probleem op...

Laat die gasten die lekke proggies maken zelf even hun pruts werk oplossen..

Verwijderd @timonb • 15 maart 2007 01:28

ik heb die rotfirewall zelfs uit moeten zetten omdat heel normale programma's die internettoegang gebruikten zoals de activatie-vensters van Adobe en Macromedia programma's gewoon geweigerd werd. ik heb geen zin voor élke internetverbinding op ja te moeten klikken...

RSP 14 maart 2007 17:59

hoe staat 45 patches in verhouding tot het totaal aantal bekende problemen?

en tevens ten opzichte van ... concurrerende producten?

Arne @RSP • 15 maart 2007 00:07

maar ook bugs in programma's als Adobe Flash Player, MySQL en OpenSSH. Zestien patches zijn al eens eerder uitgebracht,

blijven er nog max 25 van os-x zelf over dacht ik zo

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (54)

Sorteer op:

Weergave: