'Apple vergeet opensourcecomponenten te updaten'

Volgens onderzoeker Charles Miller, die enkele lekken in de iPhone-software ontdekte, moet Apple de opensourcesoftware die het gebruikt vaker updaten, zodat veiligheidsgaten niet in Mac OS X blijven zitten, terwijl ze elders al opgelost zijn.

Miller heeft zijn bevindingen met betrekking tot de door hem gevonden veiligheidsgaten in de iPhone afgelopen week tijdens de BlackHat-conferentie gepresenteerd. Volgens de onderzoeker is opensourcesoftware even veilig als programmatuur waarvan de broncode niet publiek beschikbaar is. In beide gevallen is het noodzakelijk om bekende veiligheidslekken te dichten, zeker als er al patches beschikbaar zijn. Dat doet Apple echter niet altijd even trouw, aldus Miller. Apple zou er daarom goed aan doen om zijn opensource-applicaties sneller te updaten. In de laatste security-update van het bedrijf was driekwart van de fixes overigens bestemd voor opensourceprogrammatuur.

Apple MacOS X 10.5 Leopard (klein) Een van de door de onderzoeker gevonden lekken zat in WebKit, de renderengine van de iPhone-browser. Het betreffende veiligheidsgat was een jaar geleden al gedicht door de opensource-ontwikkelaars, maar Apple had die patch niet in zijn code opgenomen. Verder is de Samba-code in Mac OS X al bijna twee jaar amper veranderd, waardoor veiligheidslekken dus ook niet gedicht zijn. Deze twee lekken zijn exemplarisch voor het falende patchbeleid van Apple, aldus Miller.

Reacties (46)

Borromini 9 augustus 2007 12:27

Toch wel triest eigenlijk. We weten al dat Apple open source niet echt een warm hart toedraagt, maar hier staat de veiligheid van hun eigen OS - en hun reputatie - op het spel. Ik vraag me echt af waarom ze zo treuzelen met die updates, zelf winnen ze er niets bij.

Verwijderd @Borromini • 9 augustus 2007 13:49

We weten al dat Apple open source niet echt een warm hart toedraagt

Ik snap niet wat je hiermee bedoelt of waar dat vandaan komt. Apple heeft toch immers ook een paar pagina's special voor opensource bestanden:

Om een ander klein voorbeeldje te noemen: bij een standaard installatie komt toch ook bij apache mee. Er staan geen hartjes op de pagina te blinken, maar het ziet er in mijn ogen uit, dat ze opensource juist wel aanmoedigen.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 07:56]

Dreamvoid @Verwijderd • 9 augustus 2007 13:59

Apple gebruikt een hoop open source code, maar is niet zo heel happig op om hun verbeteringen terug te geven aan de community. De kernel is een voorbeeld: wat ze vrijgeven loopt altijd een 'major' versie achter. Apple gebruikt eigenlijk een mix van open-source en security-through-obscurity: "je mag de code wel inzien, maar niet die van de laatste versie".

[Reactie gewijzigd door Dreamvoid op 28 juli 2024 07:56]

Luminair @Dreamvoid • 9 augustus 2007 14:53

Wat ik eigenlijk niet eens heel gek vind.
Diezelfde openheid maakt het toch een klein beetje zwakker, omdat je dezelfde lekken krijgt als de open software.

Maar het blijft inderdaad bagger dat ze zo weinig updaten.
Helaas zijn OSX86ers hier ook ietwat de dupe van, omdat ik nu lekker niet een goeie 10.4.10 kernel kan draaien >_> (niet dat osx86ers de doelgroep zijn hoor

)
Misschien doen ze het daar ook wel voor. Dat mensen niet de nieuwste updates op hun hackintoshes kunnen draaien.

Just a though...

Emielio @Verwijderd • 9 augustus 2007 13:59

Over het algemeen is apple vooral profiteur van opensource producten. Alles gebruiken, niks bruikbaars teruggeven en ondertussen de software voor bergen met geld verkopen.

johnbetonschaar @Emielio • 9 augustus 2007 14:37

Zo werkt het dus niet, alle fixes en toevoegingen van Apple horen gewoon openbaar gemaakt te worden, en dus bruikbaar door derden. Grote delen van KHTML zijn op die manier door Apple geschreven of herschreven.

_JGC_ @johnbetonschaar • 9 augustus 2007 14:43

Het probleem met Safari en KHTML was destijds dat Apple allerlei aanpassingen doorvoerde en hier compleet ongedocumenteerde patches zonder enige omschrijving wat het deed teruggaf. Zoals Emielvenlo zegt waren deze patches dan ook compleet onbruikbaar.

ByronFortescue @_JGC_ • 9 augustus 2007 21:04

Inderdaad, maar dat is inmiddels allemaal al veranderd, en dus niet meer van toepassing op het huidige OpenSource beleid van Apple..

subspawn @Borromini • 9 augustus 2007 14:02

Zoals rubymassar correct opmerkt. Apple linkt & werkt wel degelijk deftig met OSS.

In de beginne (vooral met WebKit(kHTML-fork) de render engine van Safari) zijn er wel enkele conflicten geweest over hun gebrek aan documentatie & de megagrote patches in de terug aangebrachte code aan projecten.

Maar die zijn nu volledig van de baan, ze hebben ook zelfs hun eigen CVS-server opengesteld voor bv. Webkit/kHTML. Ze horen trouwens bij de grootste commiters van code in het rij'tje naast IBM, Red Hat & Novell.

mjtdevries @Borromini • 9 augustus 2007 13:12

Wellicht omdat zij de patches zelf veel uitgebreider testen dan wat de rest van de open source community doet?

Je wilt niet dat een patch een heleboel nieuwe problemen introduceert.

Emielio @mjtdevries • 9 augustus 2007 13:34

Laten we daarom maar een jaar doen over het testen van een patch?

Dit heet gewoon luiheid. En je wil me toch niet gaan vertellen dat apple beter test als een van de bsd varianten (waar het hele os op is gebouwd).

rulus @mjtdevries • 9 augustus 2007 14:50

En je denkt dat ze bij Debian hun patches niet eerst testen? Zeker Debian doet dat erg grondig hoor

kidde

Open source

@mjtdevries • 9 augustus 2007 15:09

Wellicht omdat zij de patches zelf veel uitgebreider testen

Persoonlijk denk ik eerder dat men bij Apple minder eind-gebruikers beschikbaar heeft om te testen dan bij veel open-source gemeenschappen. Voor zover ik weet is er namelijk geen MacOSX-unstable of experimental branche, en voor de meeste Linux-distributies, maar ook voor bijvoorbeeld FreeBSD, is dat er wel.

mae-t.net @mjtdevries • 9 augustus 2007 14:43

Zelfs MS doet daar bij lange na geen jaar over, terwijl een Windows patch door de grote verscheidenheid aan configuraties toch wel een stukje complexer is.

Firefox @mae-t.net • 9 augustus 2007 16:17

Het wil dan ook wel een 'enkele' keer (op keer, op keer) fout gaan bij Microsoft (MSI Installer bug anyone? Hoeveel re-fixes heeft dat al wel niet gehad?)

Maar ik ben het er zo op het eerste gezicht wel mee eens dat Apple hier een paar grote steken laat vallen als ik het artikel zo lees.

s463042 9 augustus 2007 12:26

Dankjewel Charles dat je dit eens goed in het nieuws brengt. Ik roep dit al jaren. Mijns inziens is het nog steeds de relatief kleine userbase die OS/X beschermd, niet de robuustheid. Althans wel in opzet van de software, maar het gebrek aan het dichten van gaten doet dit teniet.

[Reactie gewijzigd door s463042 op 28 juli 2024 07:56]

Verwijderd @s463042 • 9 augustus 2007 14:22

security through obscurity werkt niet maar in dit geval is openheid ook een nadeel!

hackers zoeken de oss paketten die mac os gebruikt op en kijken naar de versie. vervolgens surfen ze naar de homepage van een verouderd oss pakket en kijken naar de versie history. zoeken op 'security' en 'fix' in de lijst. als de fix niet in de versie van apple zit hebben ze een exploit mogelijkheid te pakken. insecurity through openness!

gelukkig heeft apple overigens veel remote exploiteerbare services als samba e.d. default uit staan.

en de browser is gebaseerd op oss (webkit) die door apple zon beetje in eigen ontwikkeling is.

edit@kidde, maar bij closed software is de bugfix lijst met mogelijke exploiteerbare security gaten niet zo zichtbaar als bij open source, waar zelfs het source code revisie systeem openlijk toegankelijk is!

[Reactie gewijzigd door Verwijderd op 28 juli 2024 07:56]

kidde

Open source

@Verwijderd • 9 augustus 2007 15:06

security through obscurity werkt niet maar in dit geval is openheid ook een nadeel!

Nee, dat is geen nadeel, maar gelijk als bij closed-source software: Ook bij closed source software kan je kijken welke versie men gebruikt, en als deze verouderd is exploits opzoeken en uitbuiten. Dat heeft helemaal niets met open- of closed source te maken - en die bewering is dus ook gewoon onzin, het gaat hier gewoon lamheid om te updaten.

RedLizard @Verwijderd • 9 augustus 2007 16:20

insecurity through openness!

Je bedoelt zeker: insecurity through niet updaten

Verwijderd @s463042 • 9 augustus 2007 13:43

Je kan het ook omgekeerd bekijken. Het is net door de robuustheid dat 2 jaar oude code nog steeds probleemloos en exploitloos blijft werken op 100.000'en Mac's...

Cipri @Verwijderd • 9 augustus 2007 14:33

Pardon? Heb je het artikel überhaupt gelezen?

Doordat Apple de software niet update zitten er grote veiligheids lekken in hun software. Dat heeft niets te maken met robuustheid, en het is ook zeker niet exploitless. Er staat duidelijk dat er grote veiligheids lekken in de iPhone en Mac OS X zitten.

lowfi @Cipri • 9 augustus 2007 15:31

Veiligheids lekken die je vaak ook met de hand kan dichten. Zo kan je bv apache gemakkelijk zelf updaten. Dat is niet voor iedereen weg gelegd natuurlijk maar veel van die echt gevaarlijke (??) services staan default niet niet eens aan.

Desalnietemin zou ik als apple gebruiker graag willen dat ze het voor mij doen. Ik ben juist overgestapt om me niet met dit soort dingen bezig te houden...

OddesE @lowfi • 10 augustus 2007 03:16

Een van de door de onderzoeker gevonden lekken zat in WebKit, de renderengine van de iPhone-browser.

Ik denk niet dat de browser standaard uit staat...
Niet met je iPhone naar 'verkeerde' sites surfen dus..

Verwijderd @s463042 • 9 augustus 2007 20:41

Zoals je het stelt is het dan ook de te grote userbase van Windows die de nekslag is voor de veiligheid van het windows platform.

Ik snap ook niet wat jij al jaren loopt te roepen dan? "Ik weet dat ik op een groot veiligheidslek zit maar ik vertik het van te switchen want dat ander platform is wel exploitvrij omdat niet heel de wereld er mee werk"t? Wel een intelligent mens zou daar uit besluiten dat Mac hoe dan ook veiliger is al was het enkel maar omdat de userbase kleiner is. Het product zelf is superieur en u geeft zelf aan dat OS X zowiezo veiliger is wat zit je dan nog steeds op dat veiligheidslek te werken?

arjankoole

Beveiliging
Apple

@s463042 • 9 augustus 2007 23:11

Mijns inziens is het nog steeds de relatief kleine userbase die OS/X beschermd, niet de robuustheid.

Dit zegt nog lang niet alles. Een stuk exploiteerbare code in bijvoorbeeld Samba betekend niet dat dit onder ieder OS exploiteerbaar is. Ik ben al verschillende lekken tegengekomen die exploitable waren onder Linux, maar bijvoorbeeld niet onder FreeBSD, Solaris en Mac OS X.

Ieder lek zou dus eigelijk ge-evalueerd moeten worden voor ieder OS. Bij windows zie je dit verschijnsel niet, omdat de huidige versies van windows qua libraries e.d. ook nog erg leunen op voorgaande versies. (zo was er onlangs een fout ontdekt die security problemen veroorzaakte tot windows 3.11 aan toe(!)). Niet bedoeld om Microsoft af te kraken overigens, puur ter illustratie van het probleem.

[Reactie gewijzigd door arjankoole op 28 juli 2024 07:56]

ByronFortescue 9 augustus 2007 13:14

Ik vind ook dat Apple best de OpenSource componenten wel wat vaker mag updaten.. Maar we moeten niet vergeten dat er vaak erg snel en competent gereageerd wordt op bugs die echt uitgebuit kunnen worden.. Zo was de Webkit versie in de Iphone erg snel na het uitkomen van de bug gefixt.. En ja, de bug was al veel eerder door de OpenSource ontwikkelaars gefixt, maar Apple is wat vaker terughoudend heb ik het idee met het aannemen van die fixes.. Ik weet niet wat de strategie hier achter is?

Wat ik wel vind is dat die 'falende' beleid van Apple in contrast staat met het echte falende beleid van MicroSoft.. Als er serieuze bugs zijn dan is Apple er altijd heel snel bij, en daar ben ik blij mee..

Wel weet ik dat het overdreven is te stellen dat Apple de OpenSource software geen warm hart toedraagt.. Veel interne componenten zijn OpenSource en er wordt ontzettend veel andere OSS gebruikt in bijvoorbeeld de wetenschappelijkere omgevingen..

Blokker_1999

Besturingssystemen
Open source
Apple

@ByronFortescue • 9 augustus 2007 14:23

Die exploit had dus nooit mogen plaatsvinden. Zelfs als Apple terughoudend is en eerst de kwaliteit van een patch wil nagaan dan is dat nog geen reden om jaren te wachten met de implementatie ervan en op die manier uw systeem kwetsbaar op te stellen terwijl het voorkomen had kunnen worden.

En Apple heeft al meer dan eens in conflict gelegen met OSS developers. Ze maken er actief gebruik van, maar het teruggeven van aanpassingen gebeurd soms te traag.

En bij grote bugs geeft MS soms ook out-of-cycle bugfixes vrij ipv patch tuesday af te wachten.

Verwijderd 9 augustus 2007 13:21

Het is niet voorspelbaar wanneer er weer een open-source bugfix langskomt, en of de programmatuur blijft werken na integratie. Zowiezo moet er bij een bugfix weer flink getest worden. En als het niet werkt, dan mag je 'vreemde' software gaan aanpassen? Lekker is dat.

mashell @Verwijderd • 9 augustus 2007 15:27

Niet lekker maar gewoon een consequentie als je (open) source code van een ander in je product opneemt.

Verwijderd 9 augustus 2007 12:27

Ach, niet iedereen kan er even snel bij zijn. Maar die laatste punten zijn toch wel ernstig. Hopelijk is dit een eye-opener voor Apple en zijn ze er voortaan sneller bij.

Str1ngS @Verwijderd • 9 augustus 2007 12:30

Ach, niet iedereen kan er even snel bij zijn.

Wow, typisch voorbeeld van wat s463042 zei.
En als MS het niet na 1 dag fikst ligt de weg naar de hel bloot..

SH4D3H @Str1ngS • 9 augustus 2007 12:44

Omdat er veeeeeeeeel meer windows PC's zijn en het probleem daardoor groter is?

Neko Koneko @SH4D3H • 9 augustus 2007 13:09

Onzin. Microsoft komt doorgaans binnen een paar weken met een patch, voor echt kritieke dingen vaak sneller. Dan is het nog te langzaam. Als Apple er een keer een jaar over doet... ach ja, kan gebeuren.

Achterlijke redenering. Apple moet zijn zaakjes gewoon op orde hebben, net als MS. Als je er een om afzeikt omdat ze dat niet hebben, moet je bij een ander niet opeens het "kan gebeuren" argument gaan gebruiken, want dan meet je duidelijk met twee maten.

Verwijderd @SH4D3H • 9 augustus 2007 13:29

Omdat er nog geen mensen zijn die hun vuurpijlen op het OSX besturingssysteem heeft gericht.

SirBlade @Verwijderd • 9 augustus 2007 16:00

Eigenlijk is OSX geen besturingssysteem maar een Shell om een aangepaste BSD-kernel en wat andere OSS-tools.

s463042 @SirBlade • 9 augustus 2007 16:53

Als je er echt even goed onderzoek naar doet zie je dat de (micro-)kernel niet eens BSD is, maar een Mach. Daarop draait een BSD omgeving met daarop de OS/X shell, met daar weer dingen op als quicktime etc.

kiang

@SH4D3H • 9 augustus 2007 13:15

ik ben een Apple-fan en dat vind ik een totaal ongegrond argument!

geef gewoon toe dat ze hier in de fout zijn. Het feit dat ze een unix-based kernel hebben maakt het systeem misschien stabieler en betrouwbaarder dan Windows, maar enkel op voorwaarde dat die kernel correctie: alle onderdelen up-to-date blijven!!

Je stelt me teleur Apple, hopelijk komt hier verandering in...

[Reactie gewijzigd door kiang op 28 juli 2024 07:56]

xaveriussmet @kiang • 9 augustus 2007 13:40

Het gaat hier niet over de kernel, want die is in orde.
Het gaat over extra services als samba, apache, ftp, ...

kiang

@xaveriussmet • 9 augustus 2007 16:05

Darwin is Open-Source, ik veronderstelde dus dat die er ook onder valt...
maar idd, het gaat niet (enkel) om de kernel, er wordt niet vermeld welke open-source delen achterlopen.

[Reactie gewijzigd door kiang op 28 juli 2024 07:56]

Blokker_1999

Besturingssystemen
Open source
Apple

@SH4D3H • 9 augustus 2007 12:48

Ik vind dan weer dat Apple hier wel degelijk in de fout is gegaan. Veiligheid is verdorie een belangrijk iets dat een softwarebedrijf niet mag negeren, en zeker als de patches er al meer dan een jaar zijn en je ze maar over te nemen hebt dan heb je in feite geen enkel excuss om het niet te implementeren.

Str1ngS @SH4D3H • 9 augustus 2007 13:02

Het probleem is niet groter, en probleem kan in die zin zoals zegt niet groter zijn. Het is alleen zo dat meer mensen er last van hebben....

i-chat

Open source

@Str1ngS • 9 augustus 2007 12:49

dat komt vooral door de markt-dominante positie van MS, dat geld eigenlijk in bijna alle situaties, waarbij een grote partij (ver van je bed), de touwtjes in hande heeft en die je als zondebok kunt neerzetten, 'de overheid is evil, maar mijn buurman in de gemeenteraad is wel ok' is daar een typisch voorbeeld van hoe men denkt...

mensen zijn nu eenmaal zo, 'dom?' -

Str1ngS 9 augustus 2007 12:26

Dit is niet zo mooi als dit 100% waar is. Apple die zou inderdaad hier veel zorgvuldiger mee om moeten gaan!

_JGC_ @Str1ngS • 9 augustus 2007 12:47

Ik weet niet of het 100% waar is, maar wat mij altijd al opviel was dat apple soms een halfjaar later komt met een bugfix voor een lek in een opensource project. Elke keer weer heb je dan reacties van "goh wat goed dat ze zo snel zijn met bugfixes..." in de reacties, terwijl ik zoiets heb van "goh, 3 maanden terug had Debian dezelfde bug al gefixt".

Verwijderd 9 augustus 2007 13:10

Het kan zijn dat sommige beveiligingslekken niet zo relevant zijn binnen de configuratie van OSX. In dat geval is het te rechtvaardigen dat Apple wat langzamer is met fixen. Het is mij nog niet duidelijk uit het bovenstaande of er sprake is van luiheid of van beleid.

Je kunt fixes die niet kritisch zijn meteen overnemen, met het risico dat je nieuwe problemen introduceert of je kunt een groep fixes eerst testen en vervolgens releasematig verspreiden.

Ik heb het idee dat Apple er de laatste tijd juist goed bovenop zit. Tussen de routinematige OSX updates iedere twee maanden wordt af en toe nog een aparte security fix uitgebracht.

kiang

@Verwijderd • 9 augustus 2007 13:16

wat je zegt kan waar zijn, maar ik vrees dat het niet daaraan ligt, maar eerder aan laksheid van Apple's kant.

Op dit item kan niet meer gereageerd worden.

'Apple vergeet opensourcecomponenten te updaten'

Lees meer

Reacties (46)

Sorteer op:

Weergave: