Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 64 reacties

Apple heeft voor de tweede maal een update uitgebracht om kwetsbaarheden in Java te patchen. Die kwetsbaarheden werden gebruikt om over een periode van zes maanden de gegevens van 600.000 Mac-gebruikers te onderscheppen.

Het is niet bekend waarom Apple een tweede update uitbrengt, maar bron Intego vermoedt dat er in de eerste update een klein foutje aanwezig was, dat een tweede patch noodzakelijk maakte. De nieuwe update is enkel voor OS X Lion, terwijl de vorige ook voor Snow Leopard was.

De Flashback-trojan werd al in september vorig jaar ontdekt, maar het misbruikte Java-lek werd pas vorige woensdag gedicht. De trojan onderschept wachtwoorden en gevoelige data door zich in browsers en verschillende programma's te nestelen, zonder dat daarvoor beheerdersrechten nodig zijn. Volgens een Russisch beveiligingsbedrijf zijn meer dan 600.000 Mac-systemen geïnfecteerd, het merendeel daarvan in Amerika.

Gerelateerde content

Alle gerelateerde content (24)
Moderatie-faq Wijzig weergave

Reacties (64)

Er zijn inderdaad berichten dat deze update (1.6.0_31) bepaalde fouten corrigeert tussen onder andere Xcode en App Loader. De Snow Leopard-versie van OS X heeft daar geen last van en behoeft dus niet geupdate te worden. Uitgebreide release notes over deze versie worden nog uitgebracht.
Dat zal vast te maken hebben met de nieuwe Xcode 4.3 die totaal anders van opzet is. Het is nu gewoon net als ieder andere applicatie terwijl het voorheen nog een set losse applicaties en overige items was dat in /Developer stond. Deze versie is echter alleen voor OS X Lion, voor oudere OS X versies worden de oudere Xcodes nog gebruikt die nog de oude manier hebben (dus een /Developer).
Die update is voor java, niet voor app loader (waar ik al eerder updates voor zag langskomen) of Xcode.
vroeger waren die dingen er nog niet op apple, nu het wat populairder is krijg je dat. jammer hoor, ik vind dat apple wat dat betreft er wel wat beter op voorbereid mag zijn
Hoe moet Apple zich beter voorbereiden op kwetsbaarheden in Java?
Aangezien dat ze die voorlopig nog steeds zelf ontwikkelen ...
Apple heeft nog nooit iets aan Java ontwikkelt. Wat ze deden was het Java spul van Sun en nu Oracle pakken en dat geheel zelf distribueren. Op de tweede link in je reactie staat een verwijzing naar het officiŰle persbericht van Oracle waarin ze het volgende melden:
Apple also confirmed that Java SE 6 will continue to be available from Apple for Mac OS X Snow Leopard« and the upcoming release of Mac OS X Lion. Java SE 7 and future versions of Java for Mac OS X will be available from Oracle.
De huidige versie die we gebruiken is die 6, versie 7 is er nog niet (wellicht als test versie maar niet als productie versie). Voor versie 6 blijft Apple dus doen wat ze altijd al deden, vanaf versie 7 neemt Oracle het volledig over en komt alles bij hun vandaan. Zou tijd worden want Apple is nou niet bepaald snel met die updates. Ook deze update (versie 6 build 31) is al langer op de markt.

@jctjepkema: het probleem in deze is Java en niet iets als Windows of MacOS X. Het hele nu.nl verhaal hebben we ook aan Java te danken en bij deze malware is het ook weer Java die men exploit. De impact op beide systemen is echter totaal anders aangezien bij OS X men meer van de gebruiker afhankelijk is.
Apple heeft nog nooit iets aan Java ontwikkelt. Wat ze deden was het Java spul van Sun en nu Oracle pakken en dat geheel zelf distribueren.
Je hebt duidelijk geen idee waar je het over hebt. De Mac OS X JVM heeft stukken die hetzelfde zijn als in Oracle's JVM maar ook hele grote stukken welke Apple zelf geschreven heeft.

Deel van het probleem van de opensourcing van Apple's Java implementatie was zelfs dat Apple gebruikt maakte van API's in Mac OS X die niet public waren. Zie: http://nighthacks.com/rol...ve_jobs_comments_on_apple
Het hele nu.nl verhaal hebben we ook aan Java te danken en bij deze malware is het ook weer Java die men exploit
Nee het hele nu.nu verhaal hebben we te danken aan op de eerste plaats nu.nl die kennelijk ze zaakjes niet helemaal op orde had en op de tweede plaats mensen die niet up to date waren. De exploit voor Java was means to an end om malware te installeren. Het had net zo goed een exploit in Flash, Adobe Reader, Internet Explorer, Chrome, Firefox of wat dan ook kunnen zijn.
De enige die overduidelijk geen flauw benul heeft waar hij het over heeft omdat ie zo te lezen alles maar van horen zeggen heeft en dingen ook maar halfjes leest ben jij. Je reactie is dus geheel aan jezelf gericht, niet aan mij ;)

Ten eerste gaat het hier om de JRE en niet om de JVM, groot nuance verschil in dit verhaal.

Ten tweede hebben Apple en Sun/Oracle altijd ten stelligste ontkent dat er ook maar iets aan ontwikkeling door Apple is gedaan. Dat is ook niet zo raar want Java is geruime tijd closed source geweest. Sinds het OpenJDK verhaal is het semi-open source geworden. Zoals je al hebt kunnen lezen is Apple pas zeer recentelijk tot OpenJDK toegetreden en had het daarvoor geen enkele band met Sun/Oracle op dit vlak. Dat OpenJDK geldt pas vanaf de toekomstige versie 7 en niet op de huidige en voorgaande versies.

Ten derde schiet je jezelf in de voet doordat je geen flauw benul hebt wat het verschil is tussen ontwikkelen en distribueren en ook niet over Apple's visie en denk-/werkwijze. Apple distribueert het zelf omdat ze een stabiele en veilige omgeving willen creeeren. Alles in het plaatje moet kloppen wat dan ook de reden is waarom ze zowel de hardware als de software geheel zelf maken. Iets wat al zo vaak is langsgekomen hier en op diverse andere sites en wat ook door Apple is toegegeven. In die visie past dan ook geheel het plaatje van Flash en Java zelf distribueren. Dit zorgt er voor dat ze een juiste en veilige werking kunnen garanderen. Dat kan echter ook betekenen dat ze wat aanpassingen moeten maken om dat voor elkaar te krijgen maar dit zijn aanpassingen aan de omgeving voor hun platform en niet iets wat weer teruggaat in de Java broncode en voor iedereen beschikbaar is.

Wat je hier ook even voor het gemak vergeet is de enorme kritiek van de traagheid van Apple op dit vlak. Reden waarom vrijwel iedereen die met Java op OS X bezig was naar Linux of Windows is gevlucht. In de loop der tijd is het belang van Java voor diverse zaken wat afgenomen. Apple doet het zelf beter waardoor het hun veel meer aangelegen is om zich in te zetten op hun eigen omgeving (dus Cocoa). Het iOS platform en OS X platform doen het ieder jaar steeds beter. Dan is het dus ook niet zo raar meer dat je dingen die niet zo vaak meer gebruikt worden en van derden afkomstig zijn afstoot. Dat is ook de enige reden waarom ze Flash en Java niet meer meeleveren en het van de anderen laten afhangen. Dat doen ze echter niet cold turkey, dat gaat stapsgewijs zoals dat ook met de overgang van ppc naar Intel en 32 bit naar 64 bit is gegaan.

Ten vierde is het hele nu.nl verhaal te danken aan een Java exploit die niet meer in versie 31 zit. Hoe daar gebruik van is gemaakt is dan ook niet van belang. Het feit dat jij brult dat de nu.nl hack komt doordat nu.nl dingen niet voor elkaar zou hebben is veel te voorbarig en laat zien dat jezelf geen verstand van zaken hebt. Een hack is lang niet altijd het gevolg van falend beheer, verouderde software, etc. want het kan even goed op up to date systemen gebeuren die zonder problemen door een security audit heen weten te komen. Er zijn nog altijd hackers die ook echt goed zijn in wat ze doen. Een exploit is altijd een "means to an end" zoals je het noemt. Het is een manier om ergens binnen te komen zodat je daarna dingen als malware installeren kunt doen of andere zaken.

Ten vijfde: waar je naar linkt is niet meer dan een opinie stukje, de mening van iemand. Het is dus zeker geen objectieve onderbouwing van je relaas. Ook daar gaat het alleen om de JVM en niet de JRE waar het juist hier om gaat. De update van Apple is er namelijk eentje voor de JRE. De link naar de zogenaamde secret APIs is naar een artikel van Arstechnica over allerlei undocumented APIs in OS X (Safari in het bijzonder) en dus niet Java specifieke APIs in OS X. Sterker nog, heel Java wordt er niet eens genoemd...

[Reactie gewijzigd door ppl op 7 april 2012 15:00]

Ten eerste gaat het hier om de JRE en niet om de JVM, groot nuance verschil in dit verhaal.
Met de JRE (Java Runtime Environment) word de Sun/Oracle JVM (Java Virtual Machine) plus nog wat tooltjes (keytool, Java Webstart, browser plugin, etc) bedoelt. De JVM is waar al het werk gebeurt; Waar de bytecode omgezet word naar native code. De JVM is 95% van de JRE. Er is dus in deze discussie helemaal geen verschil.

Wikipedia linked je zelfs door naar de JVM als je zoekt op Java Runtime Environment.
Ten tweede hebben Apple en Sun/Oracle altijd ten stelligste ontkent dat er ook maar iets aan ontwikkeling door Apple is gedaan
Bron ? Die is er niet kan ik je verklappen want dit is gewoon een keiharde leugen. Kijk dan naar deze post van Mike Swingler. Hij noemt hier letterlijk Apple's eigen JVM implementatie:
we will be adding pieces and parts of our Java SE 6 implementation to the public project, and will cut over from using an X11-based AWT to a Cocoa NSEvent-based one with a new OpenGL-backed graphics layer.
Dat is ook niet zo raar want Java is geruime tijd closed source geweest. Sinds het OpenJDK verhaal is het semi-open source geworden. Zoals je al hebt kunnen lezen is Apple pas zeer recentelijk tot OpenJDK toegetreden en had het daarvoor geen enkele band met Sun/Oracle op dit vlak.
Het komt wellicht als een klap maar ook IBM, BEA (tegenwoordig ook Oracle) en HP hebben hun eigen JVM implementatie. Deze hebben ze als sinds ver voordat er ook maar over de opensourcing van Sun's/Oracle's JVM gesproken werd. Dan praten we niet over hun eigen installertje maar een eigen JVM. Welliswaar komt er ook code uit hotspot maar de JVM is substantieel aangepast (lees aanpassingen en toevoegingen aan de sourcode) voor hun specifieke eisen. Hierdoor moeten deze JVM implementaties ook opnieuw door de TCK heen om als Java compatible gecertificeerd te worden. In het geval van HP is dat voor HP-UX, IBM voor AIX en Webrockit van BEA is geoptimaliseerd voor servers (gebruikt bijvoorbeeld grote hoeveelheden geheugen om performance winst te behalen). Apple had ook een dergelijke eigen JVM allemaal al ver voor de opzet van het OpenJDK project. Al de code die Apple geschreven heeft voor deze eigen implementatie word nu in de OpenJDK gemerged.
Sinds het OpenJDK verhaal is het semi-open source geworden.
De source is GPL + Classpath exception. Je kan patches submitten en wijzingen aan de taal worden gedaan via het Java Community Process waar partijen zoals Google en Redhat aan mee doen (was overigens al zo voor OpenJDK). Gewoon volledig opensource dus. Je doelt waarschijnlijk op de closed source variant die je nog van Oracle kan downloaden. Deze is er nog voor backwards compatibility doeleinde en Oracle heeft aangegeven dat OpenJDK de reference (ie. hoofd) implementatie is.
Dat kan echter ook betekenen dat ze wat aanpassingen moeten maken om dat voor elkaar te krijgen maar dit zijn aanpassingen aan de omgeving voor hun platform en niet iets wat weer teruggaat in de Java broncode en voor iedereen beschikbaar is.
Dat zouden dan hele opervlakkige aanpassingen moeten zijn want je beweerd net dat Apple de source van JVM niet had. Zoals hierboven nu al meerdere keren uitgelegd hadden ze die wel en maakte subsantieele aanpassingen en voegde code toe.

Sterker nog als Java programmeur merk ik dat zelfs. Bijvoorbeeld Apple's JVM delegeerd op Mac OS X de font rendering van Java 2D aan Mac OS X (quartz) in plaats van dat het in de JVM gebeurt (zoals bij de door Sun ontwikkelde JVMs op Linux en Windows). Hierdoor zien fonts er in Mac OS X in Java anders uit dan in Linux en Windows. Probeer dat maar is te doen zonder de broncode van de JVM.
Een hack is lang niet altijd het gevolg van falend beheer, verouderde software, etc.
Klopt, maar in het geval van nu.nl wel. Als je een dergelijke high profile site bent en de admin login van je CMS is vanaf het hele Internet toegankelijk (dus ook vanuit China, etc) en enkel beveiligd met een password dan is de kans dat het mis gaat behoorlijk groot. Kijk bijvoorbeeld naar een ander willekeurig CMS wat die als deployment advies geeft.
want het kan even goed op up to date systemen gebeuren die zonder problemen door een security audit heen weten te komen.
Security is het doel, niet door audits heen komen. Als je door een audit komt betekend niet dat er geen gevaar is en dat je werk klaar is. Met andere woorden als je ergens niet vanaf weet betekend dat niet dat het niet bestaat, het betekend enkel dat je het in ieder geval nog niet gevonden hebt. Daarnaast zijn de meeste "audits" eindeloze vragen lijsten. Het is niet heel moeilijk om de waarheid zo te buigen dat je door een audit komt.
Ten vijfde: waar je naar linkt is niet meer dan een opinie stukje, de mening van iemand. Het is dus zeker geen objectieve onderbouwing van je relaas.
Dat is een blog entry van James Gosling; De man die Java gemaakt heeft en vanuit Sun betrokken was bij de gesprekken over licensing van Java door partijen zoals Apple en Google. Je kan wat hij zegt niet wegwuiven als "een opinie stukje".
Ook daar gaat het alleen om de JVM en niet de JRE waar het juist hier om gaat.
Dat heb ik bovenin dus al uitgelegd. Daar zit dus geen verschil in voor deze discussie.
De link naar de zogenaamde secret APIs is naar een artikel van Arstechnica over allerlei undocumented APIs in OS X (Safari in het bijzonder) en dus niet Java specifieke APIs in OS X. Sterker nog, heel Java wordt er niet eens genoemd...
Je snapt duidelijk niet waar het over gaat. De crux van het verhaal is dat Apple voor haar Mac OS X JVM implementatie gebruik gemaakt heeft van API's in Mac OS X welke niet publiekelijk beschikbaar zijn. Dit maakt het overdragen van de Apple JVM naar een organisatie anders dan Apple extreem moeilijk.

Het stuk bij Arse is een voorbeeld dat ze vaker gebruik maken van API's in Mac OS X in hun eigen applicaties die niet beschikbaar zijn voor de rest van ons niet-Apple programmeurs.

Je helpt hier wederom totale onzin de wereld in. Je verspreid desinformatie welke je neerzet als de waarheid. Als je niet weet hoe het zit kan je er ook gewoon niks over zeggen.
Ik probeer de kern van je flame te achterhalen maar het lukt me niet...

We weten allemaal waar dit artikel over gaat:

- Bug in Java van Oracle gedistribueerd door apple
- Exploit beschikbaar met als payload de Flashback trojan

Verdere meningen veranderen deze feiten niet.
Apple distribueert niet simpelweg Oracle's code, maar maakt vanuit van Oracle's HotSpot codebase zijn eigen OS X Java VM. Ze hadden dit niet hoeven doen, op andere platforms doet Oracle alles zelf en release zijn eigen updates - maar om wat voor reden ook wilde Apple op OS X zelf de verantwoordelijkheid nemen voor de Java VM.

De bug in de Hotspot code is allang gefixed. Oracle heeft hun eigen JVM (beschikbaar voor Windows, Linux en Solaris) op 14 Februari gepatched. Apple heeft deze bug om onbekende reden laten zitten tot eergisteren.

Dat zijn de feiten. Als er een goede reden was om Java nog niet te patchen, soit. Zo niet, dan staat Apple er niet best op.

[Reactie gewijzigd door Dreamvoid op 7 april 2012 22:40]

De bug in de Hotspot code is allang gefixed. Oracle heeft hun eigen JVM (beschikbaar voor Windows, Linux en Solaris) op 14 Februari gepatched. Apple heeft deze bug om onbekende reden laten zitten tot eergisteren.

Dat zijn de feiten. Als er een goede reden was om Java nog niet te patchen, soit. Zo niet, dan staat Apple er niet best op.
en omdat men geen patches meer uitbrengt voor oudere systemen (OSX <10.5) zullen die system gebruikt blijven worden in/door botnets. Dat is ook al geen beste zaak.
Ik weet niet wat je van Apple verwacht wat dat betreft. Als je een besturingssysteem hebt waarop je vrij bent van alles te installeren die overal toegang tot hebben dan kunnen dit soort problemen voorkomen.

Apple is momenteel al bezig met de App Store voor de Mac en dan zal dit in ieder geval veel minder voorkomen (je kan het dan zo standaard instellen dat alleen App Store-applicatie's toegang hebben tot bepaalde dingen).

Een simpele oplossing is om geen Java te ondersteunen op het Mac-platform, maar dan kan je er al een stuk minder opdraaien en dat willen we wel voorkomen.

Het is maar wat je wilt: wil je een gesloten systeem (zoals iOS), of wil je een meer open systeem zoals Windows (en in minder mate Mac OS)? Voor desktops en notebooks heeft men besloten om voor 't laatste te gaan.

[Reactie gewijzigd door Uniciteit op 6 april 2012 16:18]

Apple is momenteel al bezig met de App Store voor de Mac en dan zal dit in ieder geval veel minder voorkomen (je kan het dan zo standaard instellen dat alleen App Store-applicatie's toegang hebben tot bepaalde dingen).
Het lek in Java wordt misbruikt op websites. Ik zie niet in hoe de Mac AppStore dit in de toekomst gaat voorkomen of verminderen.
Door geen Java te ondersteunen had dit kunnen worden voorkomen.
En dan gaan ze kwetsbaarheden in de browser aanvallen.

Nee dit soort shit kan je helaas niet voorkomen, je kan het alleen zo snel mogelijk oplossen :D

Hoe meer gesloten de software is hoe langer het kan duren voordat de oplossing daar is. Dit omdat je bij opensource vaak mensen hebt die het probleem snappen en daarom ook snel kunnen vinden in de code. Bij gesloten software werk je toch vaak in een gesloten ontwikkelteam

[Reactie gewijzigd door Mellow Jack op 6 april 2012 16:56]

Bwa, hoe meer open de software is, hoe sneller er beveligingsproblemen gevonden worden door mensen met slechte bedoelingen. En deze gaan die echt niet patchen voor de community.
Ik zie niet in hoe de Mac AppStore dit in de toekomst gaat voorkomen of verminderen.
Het probleem is dat gebruikers software uit een niet gecontroleerde bron kunnen installeren.

De Mac AppStore lost dat probleem deels op, echter sommige applicaties zijn niet geschikt voor of praktisch binnen de OSX sandbox.
De ontwikkelaar kan vanaf OSX 10.8 die applicaties via Apple digitaal ondertekenen en vervolgens zelf verspreiden.

Als de gebruiker alleen vertrouwde applicaties toestaat (nu nog instelbaar) dan wordt het een stuk lastiger om mallware te installeren. De enige methode is dan een developer die via een ondertekende of Mac AppStore applicatie mallware verspreidt, in dat geval kan Apple de impact beperken door de killswitch te gebruiken en het certificaat in te trekken.

[Reactie gewijzigd door Carbon op 6 april 2012 17:41]

Voor apps die niet compleet in een sandbox kunnen leven heb je gewoon nog steeds de Powerbox waar je dan je dingen in kan doen die perse niet in de sandbox kunnen. Denk aan een decoder voor mp2 streams, die neemt data in, en poept data uit, en doet verder niks, maar moet dat wel op topsnelheid doen met toegang tot specifieke registers en functies. Dat kan in een powerbox heel goed, om dat in een worst case scenario je dus een foute bit stream krijgt en je uiteindelijk geen gedecodeerde video hebt. boo-hoo. Ik denk dat het gewoon allemaal uitstekend kan, de API documentatie en de voorbeelden zijn ook erg duidelijk. Het is alleen een kwestie van willen en dat ligt bij de programmeurs en auteurs.
Java wordt in dit geval on demand geinstalleerd als onderdeel van het os, het wordt sinds Lion niet meer standaard geinstalleerd, maar als optie. Zolang Apple traag blijft reageren om lekken in onderdelen van het os te dichten, zal een app store in zijn geheel niet helpen.
Hmm, de chromebook ondersteunt het ook niet, en ik mis eigenlijk niks...?
Op een Chromebook draai je dan ook niet echte desktop programma's.
Apple ondersteund min of meer al geen Java meer vanaf OS X Lion (de huidige versie). Het zit er standaard niet meer in maar als je Terminal opent en javac -version intikt krijg je wel een popup met de vraag of het geinstalleerd moet worden of niet. Voor wie dat niet heeft gedaan zal er dan ook geen update te vinden zijn (en dat is natuurlijk weer heel logisch :)). In de toekomst (vanaf java versie 7 (we zitten nu op 6)) zal Oracle alles voor haar rekening nemen en doet Apple niets met java. Doen ze nu ook al met Flash (ook sinds Lion als ik het goed heb). Terecht want dit soort dingen horen bij de partijen die het maken, niet degene die het os maakt.

De Mac App Store en het wel/niet open of gesloten zijn heeft helemaal niets met het hele verhaal te maken. Als er ergens een exploit in zit zal dat ongetwijfeld door iemand worden gebruikt. Je kunt controleren tot je een ons weegt maar er is geen 100% garantie op complete 100% waterdichtheid. Er zal altijd wel iets doorheen glippen.
OSx is meer "open" dan windows...
Ik snap al nooit hoe mensen het woordje open bij windows kunnen gebruiken (of misschien bedoeld men daar het aantal mogelijk aanvalsvectoren mee).
Die bij een volledig gepatched Windows systeem tegenwoordig een stuk lager liggen dan het aantal aanvalsvectoren in osx. Osx ligt al sinds Vista hopeloos achter als het gaat om goede security, die op een constitentie (lees niet halfslachtige) manier wordt gewaarborgt.

Als je dan ook nog eens meeneemt dat Apple al jaren traag is met het dichten van lekken (dit voorbeeld is slechts een van de velen de laatste jaren) dan lijkt mij het zeker niet opportuun of realistisch om te denken dat Osx veiliger is dan Windows.

Zo open is Osx natuurlijk niet, ja zaken als Apache zijn zeker volledig opensource, maar Aqua bijvoorbeeld is volldig closed source. Natuurlijk is Apple's Eula ook bijhoorlijk restrictief, anders dan bij Windows, mag je Osx enkel op Apple hardware installeren, in dat opzicht is Windows wel degelijk meer open dan Osx.
De complete kernel is open! En wordt netjes na elke update vrij gegeven.
Ik weet niet hoeveel meer open je moet zijn!?
Niet Apple gebruikers roepen al jaren "het zal steeds meer worden" Maar gelukkig is dal al die jaren niet echt terug te zien.

Typecast-L had daar een mooi voorbeeld van in het andere bericht.
Voorbeeld: In 2011 zijn er 58 nieuwe virussen, Trojaanse paarden en andere malware voor Mac OS X ontdekt, voor Windows waren het er 14 miljoen.
Bron: http://www.security.nl/ar...Mac-virussen_in_2011.html
En dat zijn niet eens echte virussen, maar dat lijkt een eindeloze verwarring te zijn. Malware is uiteraard altijd mogelijk, probleem is daar de gebruiker, net als onder ieder systeem. Al die zogenaamde gelovige OSX gebruikers hebben het daar dan ook nooit over, die hebben het over virussen en die zijn er simpelweg nog steeds niet.
Tenslotte praat iedereen over 'trojans, virussen, malware, spyware, adware, <nog twintig termen>' in plaats van een samenvattend woord, amirite?
Het grote verschil tussen trojans (wat dit zijn) en virussen is dat virussen gebruik maken van een exploit om binnen te komen en dat trojans erop rekenen dat de eindgebruiker de software download en een wachtwoord opgeeft.
Het zijn combinaties. De bewuste "Flashback" Java applet maakt gebruik van een exploit in Apple's JVM, waarna het een trojan installeert. Deze trojan werkt 'beter' als de gebruiker zijn admin wachtwoord heeft ingeklopt (want, root rechten), maar zonder password werkt het ook al met user rechten - dan injecteert het zich in applicaties die door de user gestart zijn. Lees het security rapport over Flashback maar na.
Trojans zijn er altijd al geweest ... het is niet nieuw.
Het enige verschil is er meer gebruikers bij zijn gekomen die net als onder windows overal op klikken en wachtwoorden invoeren.

User Issues ... de oplossing zit hier niet in software maar in leren begrijpen wat je aan het doen bent.
netjes dat dat zo snel gefixed word.
bijna net zo goed als de garantie van apple.

word vast weggemod maar on het niet laten.
verder blijft het een kwalijke zaak dat zoiets zo lang op zich laat wachten.
ik word soms gestoord van de MS updates iedere keer als ik mijn pc aanzet maar dat is toch beter dan 6 maanden wachten op een fix...
"De Flashback-trojan werd al in september vorig jaar ontdekt, maar het misbruikte Java-lek werd pas vorige woensdag gedicht."
Ik en menig ander hebben toch een andere definitie van "snel".
(edit: woops, ik zag t sarcasme niet, slaaptekort :+ )

[Reactie gewijzigd door masauri op 6 april 2012 16:20]

Als je kijkt naar de gemiddelde impact van dit virus, dan is de impact vrij laag.

Als je wel eens leest hoeveel botnets er voor windows bestaan, waarbij er 10 duizenden PC's per dag besmet kunnen raken dan is de impact hoog.

Niets tegen WIndows of andere systemen, maar als je het objectief bekijkt is het vanuit Apple's kant wel noordzaak om dit te dichten, maar niet op stel-en-sprong. En zo'n geval is het beter om je software nog eens te controleren en te testen dan het vliegensvlug uit te brengen. Vraag maar aan software makers op Windows wat voor effecten dat heeft. Vaak genoeg gehoord hier op tweeakters dat een windows machine niet meer wilde opstarten omdat er een update was uitgebracht die sommige systemen omzeep kon helpen.

Als 50% van de Mac's ge´nfecteerd raakten, dan kun jer er wel zeker van zijn dat Apple dit een week later had gedicht.

Perspectief mensen....
Perspectief zeg je? Impact vrij laag?

Om het dan maar in het juiste perspectief te plaatsen, dit zijn de gevolgen.
Dit lek had nooit 6 maanden open mogen blijven!
netjes dat dat zo snel gefixed word.
Alleen een beetje jammer dat de bug in februari al gefixed is door Oracle, en de fix toen al voor Windows beschikbaar was. Aangezien Apple het nodig vind Java zelf te verspreiden (dat is veiliger) heeft het nog een tijd geduurd voor de fix beschikbaar was voor OSX.
Apple verspreid Java 6 nu nog zelf ja, maar dat heeft niets met veiligheid te maken, maar met gebruikerservaring. Vanaf Lion wordt Java niet meer standaard geinstalleerd (nog wel automatisch op het moment dat het nodig is).

Java 7 komt ook voor de Mac ook gewoon bij Oracle (danwel het OpenJDK project) vandaan.

Dezelfde weg heeft Apple onlangs ook voor Flash gevolgd: dit kwam ook in een aangepast versie standaard mee. Nu moet je net als op Windows zelf Flash Player ophalen bij Adobe.

[Reactie gewijzigd door Herko_ter_Horst op 6 april 2012 16:45]

Dat is veiliger was niet echt de reden, ze wilden het gewoon zelf in huis houden zodat de Aqua interface bijvoorbeeld ondersteund werd in plaats van dat verschikkelijke standaard Java GUI systeem (Swing?).

Tegenwoordig zijn er steeds minder applicaties in Java te vinden en is er genoeg keus voor native applicaties. Java op OSX is imho enkel nog voor devvers interessant (voor Eclipse ofzo).
Ja hoor en MS fixed alle kwetsbaarheden op het moment deze bekend zijn (duh!)?
Als ze elke week een fix uitbrengen wil dat niet zeggen dat de kwetsbaarheden van dezelfde week of vorige week al opgelost zijn. Dit kan ook wkn tot zelfs maanden duren.

Zijnootje: Apple wordt populairder en dus interessanter voor hackers en consorten.
Dus zullen de Apple OS'en ook vaker worden aangevallen. Kon je natuurlijk op wachten.
Maar dat staat los van het Java verhaal. Blijft voor MS en Apple hetzelfde.
Ben een Apple fanboy, maar er is geen excuus dat het zo lang heeft geduurd. Dit lek hadden ze eerder moeten dichten of in ieder geval zelf moeten communiceren.
Update informatie is hier te vinden:

http://support.apple.com/kb/HT5055
Niet dat het heel veel uitmaakt, maar dat getal van "600.000" vind ik zo uit de lucht gegrepen.

Een Russisch bedrijf claimt dat, waarschijnlijk op basis van een soort extrapolatie en iedereen bauwt dat maar na, alsof het een onweerlegbaar feit is.

Het zal de eerste niet zijn die om in de media te komen de boel een beetje dik aanzet, maar het doet ergens wel denken aan bijvoorbeeld die getallen die werden geroepen over het aantal zieken/doden met de uitbraak van de varkensgriep.

Zelfs al zijn het experts, dan nog moet je het met een korrel zout nemen, als het maar uit een bron komt.

Ik ben bijvoorbeeld benieuwd: welke tweaker heeft het al in het wild gezien (dus op een computer op de zaak, of bij vrienden/familie?).
Beetje vreemde statement. Ik vermoed dat partijen goed in staat zijn benaderingen te maken echter bij kleine getalen zoals dit zal het misschien wat minder goed lukken. Bedrijven houden zich al decenia bezig met het onderzoeken van virussen/scripts/worms en wat nog meer wat rondgaat die zullen onderhand best wel aardig in staat zijn om een goede inschatting te maken.
Om het dan zo maar af te doen als 'uit de lucht gegrepen' is wel erg makkelijk. Hoe kunnen we in dat geval nog andere nieuwsberichten accepteren?
Wat me nog meer bevreemd is dat je een dergelijk bericht afdoet terwijl Apple hier toch wel weer eens steken laat vallen. In geval van MS staat men op de achterste poten maar voor Apple ...
Wat mij verder stoort is hoe onduidelijk Apple ermee omgaat. Je weet nog steeds niets precies wat wel/niet opgelost is en waarom men voor dit kiest noch waarom het zolang duurt. Dit is toch iets wat MS met jaren ervaring via de knowledgebase goed heeft opgelost. De thuisgebruiker hoeft niets te weten maar mocht je het toch willen weten, click op de patch en je krijgt de informatie. Verder klinkt 600.000 indrukwekkend maar is dit toch eigenlijk maar een kleine hoeveelheid.
Ik begrijp het misschien niet helemaal maar moet een Java-lek niet door Oracle gepatched worden? Of is dit een backport update of wordt er een kwetsbaarheid in OSX gedicht waardoor het Java-lek niet meer nuttig is?
Apple levert een iets aangepaste Java mee in OS X, zodat het uit de doos meteen werkt. Daardoor moet Apple ook zorgen dat het fatsoenlijk werkt mijn OS X. Het is dus Apple die de patches moet leveren omdat het ge´ntegreerd zit in OS X.
Waarschijnlijk kon via Java een fout in Mac osx misbruikt worden.. Dus zal de fout bij beide programma's zitten. Denk dat t vergelijkbaar is met psp games die t mogelijk maakte homebrew te draaien..
Via java kon er een toolje toegang krijgen wat in userland wat zaken kon aanpassen (met gewoon de rechten van de gebruiker > binary injection), en als de gebruiker zelf het ww gaf kon het nog meer (logisch).

geen privilege escalaties ofzo.
Het is al gepatched door Oracle in hun 1.6.0_31Java update voor Windows, Linux en Solaris van 14 Februari. Op OS X is Apple degene die verantwoordelijk is (deze afspraak loopt al sinds de eerste OS X uit 2001), en Apple heeft pas twee dagen geleden de _31 patches doorgevoerd. Hoe je het ook wendt of keert, da's niet zo fraai.

[Reactie gewijzigd door Dreamvoid op 7 april 2012 11:26]

wist je dat heel veel mensen (gemiddelde consument) denkt dat er geen virussen,malware, of andere narigheid is voor apple systemen. Moet je maar eens vragen aan mensen met een iphone. Zowiezo mensen die geen tweakers zijn in iedergeval.
Nu gebruik ik al zowat vijf jaar een mac/OS X, en ik kan toch echt niet anders dan tot dezelfde conclusie komen.
Op windows (2000-XP) ben ik vaak bezig geweest met HijackThis, Spybot S&D of Ad-Aware. Daar kreeg ik toch de indruk dat er vaak sprake was van bedreigingen allerhande.

Sinds ik (2007) op OS X werk, lijkt het fenomeen inderdaad redelijk onbestaand. Ik onken het bestaan niet, maar behalve dat ik sinds 2007 zelf totaal geen moeite meer heb gestoken in malware-bescherming, ben ik er zowat nooit meer mee geconfronteerd geweest. Ja, hier of daar kreeg ik nog wel eens ongevraagd een besmet .exe-bestand binnen. That's it.

Ofwel weten de virussen/malware zich ontzettend goed te verbergen, ofwel is er inderdaad amper tot geen sprake van een bedreiging.
Hang een beetje waar je uithangt op internet. Als je een beetje in de minder betrouwbare hoeken op internet komt, kom je echt wel wat trojans tegen. Toen Safari nog de bug had dat het automatisch .dmg's opende en install scripts startte (is een jaartje of 2 geleden gepatched) kreeg ik zo nu en dan ook zo'n scherm voor mijn neus of ik voor deze "Flash plugin" even mijn admin password wilde invullen.

Overigens, een succesvolle hackpoging (die van browser exploits gebruik maakt ipv social engineering) merk je niet, dat gaat volledig achter je rug om - da's het hele idee achter remote exploits. Ze worden pas opgemerkt als iemand anders ontdekt dat je een zombie in een botnet bent, of dat er verdacht veel mailtjes van je IP vandaan komen.

[Reactie gewijzigd door Dreamvoid op 7 april 2012 11:37]

De mensen die wel tweakers zijn mogen dan wel eens ophouden met het gemekker over dat het allemaal zo lek is als een mandje. Als je een tweaker bent dan weet je wel beter! Of iets wel of niet lek is en wel of niet aan te vallen is, heeft niks te maken met het aantal groene lampjes/schildjes/popups je hebt in je windows security center, of hoe veel statistieken je virusscanner toont.
Precies! De standaard beveiliging in OSX functioneert prima zonder toeters en bellen, en meer heb je niet nodig. In 10 jaar tijd nog niet een keer in het wild malware gespot.
Hoewel ze telkens geavanceerder worden, vind ik trojans zo old-school.. nog uit de tijd van ProRat.
Geen enkel systeem is veilig voor virussen/malware, dat zou men onderhand wel moeten weten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True