Apple sicher?

[Detlev Rackow]

Hi,

aus dem aktuellen Wochennewsletter von Securitytracker.com - irgendwer hat wohl mal "zu gründlich" auf die Maschinen geschaut *gg*

--- Beißkante ---
5. CUPS (Common UNIX Printing System)

Vendor: Apple Computer

A vulnerability was reported in CUPS on Mac OS X. A local user
can obtain potentially sensitive information.

Impact: Disclosure of authentication information

Alert: http://securitytracker.com/alerts/2008/May/1020145.html


6. Apple ImageIO

Vendor: Apple Computer

Two vulnerabilities were reported in Mac OS X ImageIO. A local
user can view portions of system memory. A remote user can cause
arbitrary code to be executed on the target user's system.

Impact: Disclosure of system information

Alert: http://securitytracker.com/alerts/2008/May/1020144.html


7. Mac OS X

Vendor: Apple Computer

A vulnerability was reported in Apple Wiki Server. A remote
user can determine user names.

Impact: Disclosure of system information

Alert: http://securitytracker.com/alerts/2008/May/1020143.html


8. Mac OS X

Vendor: Apple Computer

A vulnerability was reported in Mac OS X Single Sign-On. A
local user can obtain passwords.

Impact: Disclosure of authentication information

Alert: http://securitytracker.com/alerts/2008/May/1020142.html


9. Mac OS X

Vendor: Apple Computer

Two vulnerabilities were reported in Mac OS X Image Capture. A
local user can view files and obtain elevated privileges on the
target system.

Impact: Disclosure of system information

Alert: http://securitytracker.com/alerts/2008/May/1020141.html


10. Apple Mail

Vendor: Apple Computer

A vulnerability was reported in Apple Mail. A remote user may
be able to execute arbitrary code on the target system.

Impact: Disclosure of system information

Alert: http://securitytracker.com/alerts/2008/May/1020140.html


11. Mac OS X

Vendor: Apple Computer

A vulnerability was reported in Mac OS X in the processing of
certain character encodings. A remote user can bypass content
filters.

Impact: Disclosure of user information

Alert: http://securitytracker.com/alerts/2008/May/1020139.html


12. Apple Help Viewer

Vendor: Apple Computer

A vulnerability was reported in Apple Help Viewer. A remote
user can cause arbitrary code to be executed on the target user's
system.

Impact: Execution of arbitrary code via network

Alert: http://securitytracker.com/alerts/2008/May/1020138.html


13. Mac OS X

Vendor: Apple Computer

A vulnerability was reported in Mac OS X CoreTypes. A user may
not be warned before opening certain unsafe file types.

Impact: Modification of system information

Alert: http://securitytracker.com/alerts/2008/May/1020137.html


14. Apple CoreGraphics

Vendor: Apple Computer

A vulnerability was reported in Mac OS X CoreGraphics. A
remote user can cause arbitrary code to be executed on the target
user's system.

Impact: Execution of arbitrary code via network

Alert: http://securitytracker.com/alerts/2008/May/1020136.html


15. Apple CoreFoundation

Vendor: Apple Computer

A vulnerability was reported in Mac OS X CoreFoundation. A
user can execute arbitrary code on the target system.

Impact: Execution of arbitrary code via local system

Alert: http://securitytracker.com/alerts/2008/May/1020135.html


16. Apple CFNetwork

Vendor: Apple Computer

A vulnerability was reported in Mac OS X CFNetwork. A remote
user can obtain certificate information.

Impact: Disclosure of system information

Alert: http://securitytracker.com/alerts/2008/May/1020134.html


17. Mac OS X

Vendor: Apple Computer

A vulnerability was reported in Mac OS X Apple Type Services.
A remote user can cause arbitrary code to be executed on the target
user's system.

Impact: Execution of arbitrary code via network

Alert: http://securitytracker.com/alerts/2008/May/1020133.html


18. Mac OS X

Vendor: Apple Computer

A vulnerability was reported in Mac OS X in the Pixlet codec.
A remote user can cause arbitrary code to be executed on the target
user's system.

Impact: Execution of arbitrary code via network

Alert: http://securitytracker.com/alerts/2008/May/1020132.html


19. Mac OS X

Vendor: Apple Computer

A vulnerability was reported in Mac OS X. A remote user can
cause arbitrary code to be executed on the target user's system.

Impact: Execution of arbitrary code via network

Alert: http://securitytracker.com/alerts/2008/May/1020131.html


20. Apple File Protocol (AFP)

Vendor: Apple Computer

A vulnerability was reported in the Mac OS X Apple File
Protocol (AFP) server. A remote user can view files that are not
designated for sharing.

Impact: Disclosure of system information

Alert: http://securitytracker.com/alerts/2008/May/1020130.html


---

Ist einfach alles dabei, was sonst bei Windows bemängelt wird: Codeausführung über's Netz, ungewollte Codeausführung beim Lesen von Mail, Ausspähen von Dateien über's LAN, lokale User dürfen auch an Daten an die sie nicht dürfen, ...

Der einzige echte Vorteil: Solange der Marktanteil bei 5% liegt, macht sich keiner die Mühe die Möglichkeiten zu nutzen...

Ciao,

Detlev

[Benutzer]

hi detlev
perfekt ist apple nicht, keine frage.
und sicherheitslücken sind ärgerlich - bei jedem os.

trotzdem kann ich es nur immer wieder betonen:
mein momentan ältester mac, ein emac, läuft seit 2004 völlig problemlos. keine systemabstürze, kein viren...null problemo, einfach einschalten und arbeiten. ich bin als fotograf bestenfalls erfahrener user, kein it-fachmann.
während meiner pc-zeiten habe ich mich über jahre immer wieder mit allen möglichen problemen auseinander setzen müssen...und wenn ich an die viele zeit denke, die ich in die dosen reingesteckt habe....

ich habe mittlerweile vier mac's -alles bestens, ich bin hochzufrieden - sie sind jeden euro wert.


grüße
olaf

[ehemaliger Benutzer]

Na Detlev, fühlst Du Dich denn jetzt wenigstens besser? Du hast es uns allen gezeigt: es gibt keine Sicherheit. Das hätten viele Fotografen ohne Dich nie erfahren. Ich will jetzt auch mal: 25 Jahre habe ich mein Geld mit DOS und dann Windows verdient, ich kann mir davon sogar mehr Fototechnik leisten als ich beherrschen kann. Und seit ich zu Apple gewechselt bin (und mir ist ein Rechner von denen sogar «durchgeknallt») frage ich mich nur noch: warum habe ich das nicht bereits 1984 getan? Musste ich durch die Windows Untiefen? Was war der Sinn dieser Art des Lebens?

Gruß, Wolf

[fotovisto]

Bis jetzt haben sich die Dinge immer ganz schnell relativiert:

A single user can... Dazu muss ich erst mal auf die Maschine kommen und mich anmelden können. Dito beim Remote user. Was ist mit der Firewall und der Sicherheit davor. Die meisten "

[fotovisto]

Bis jetzt haben sich die Dinge immer recht schnell relativiert:

"A single user can..." Dazu muss ich erst mal auf die Maschine kommen und mich anmelden können. Dito beim Remote user. Was ist mit der Firewall und der Sicherheit davor? Die meisten "Sicherheitslücken" sind nicht so brisant, wie sich das erst liest.

SG Kai

[fotoknipser-lausitz]

oh Gott die Windows-User kommen und werden das heil über uns bringen


Ich fahre Mercedes und Du?: BMW! ist doch mist
Ich habe ne Canon und Du?: Nikon! ist doch genauso Schei.... wie dein BMW
Ich habe Windows und DU?: Apple! ist doch genauso Schei... wie dein BMW und deine Nikon


und ewig gibts Profilneurotiker

Hallo,
was bitte versteht man eigentlich unter der Bezeichnung
Profilneurotiker. ?

Danke Bitte
Re: Profilneurotiker

Hallo,

unter einer Profilneurose versteht man, dass einer die Befürchtung und die Angst hat, zu wenig zu gelten und die daraus resultierenden größeren Bemühungen, sich zu profilieren, sich vor anderen auszuzeichnen.

Du hast die Frage im richtigen Brett gestellt! :-) Schau dich nur um hier!

Gruß F....

Achja, ich habe den Text z. T. vom (c) Dudenverlag.

[ehemaliger Benutzer]

...
aus dem aktuellen Wochennewsletter von Securitytracker.com - irgendwer hat wohl mal "zu gründlich" auf die Maschinen geschaut
...

Ob Windoofs dadurch wohl besser wird ...?

[Detlev Rackow]

Na Detlev, fühlst Du Dich denn jetzt wenigstens besser? Du hast es uns allen gezeigt: es gibt keine Sicherheit. Das hätten viele Fotografen ohne Dich nie erfahren. Ich will jetzt auch mal: 25 Jahre habe ich mein Geld mit DOS und dann Windows verdient, ich kann mir davon sogar mehr Fototechnik leisten als ich beherrschen kann. Und seit ich zu Apple gewechselt bin (und mir ist ein Rechner von denen sogar «durchgeknallt») frage ich mich nur noch: warum habe ich das nicht bereits 1984 getan? Musste ich durch die Windows Untiefen? Was war der Sinn dieser Art des Lebens?

Hallo Wolf,

bei der Beurteilung von IT-Sicherheit geht es nicht um das bessere Gefühl, sondern um den bewußten Umgang mit Risiko. Dazu gehört es, die Risiken anzusprechen.

Um mal in großen Einheiten und Begriffen zu sprechen (ich muß da beruflich immer für 6.000 Endgeräte samt Usern und Infrastruktur denken): Ein wesentlicher Teil eines Systems für Informationssicherheitsmanagement besteht immer darin, auch beim Anwender die "Awareness", also das Bewußtsein für die bestehenden Risiken zu schaffen. Gerade bei Anwendern von Apple-Maschinen vermisse ich diese Awareness sehr häufig.

Mit Apple-PCs ist in der Vergangenheit wenig passiert - was aber nicht unbedingt daran liegt, dass diese Geräte soviel besser programmiert sind. Bis MacOS 9.5 hatte Apple einen interessanten Ansatz: Keine Shell, fast keine Dienste - damit konnten Angriffe fast nur noch "von innen" kommen. Mit der Umstellung auf Unix und eine große Anzahl von Opensource-Standardprodukten wie z.B. Cups macht man sich allerdings durchaus anfällig für Sicherheitslücken, die in dieser Software existieren.

Das "mir ist noch nichts passiert" ist kein Grund, sich sicher zu fühlen, wenn es passieren könnte aber keiner etwas probiert weil er (bisher) den Aufwand scheut. Ich möchte für Apple-Sicherheitsrisiken dieses Risikobewußtsein schaffen, und fühle mich dann in der Tat besser. Das hast Du richtig erkannt :-)

A single user can..." Dazu muss ich erst mal auf die Maschine kommen und mich anmelden können. Dito beim Remote user. Was ist mit der Firewall und der Sicherheit davor? Die meisten "Sicherheitslücken" sind nicht so brisant, wie sich das erst liest.

So etwas suggeriert beim ersten Lesen, dass der Anwender am Bildschirm der Bösewicht sein muß, das ist richtig. Aber: Wenn's der Anwender kann, dann kann es auch sein Browser oder sein Mailprogramm. Eine wichtige Erkenntnis in der IT-Sicherheit: Mehr als 90% der Angriffe kommen ungewollt von innen. Klicke auf den falschen Link, öffne die falsche Datei, und schon bist Du nicht von der äußeren, sondern von der inneren Sicherheit abhängig.

Eine Sicherheitslücke die nach innen besteht und die sog. "Elevation of privileges" ermöglicht, kann von außen z.B. sehr gut über Seiten wie Myspace, Webmailer oder auch im Zusammenhang mit der o.g. Lücke in Apple Mail ausgenutzt werden. Ein guter Mailwurm macht genau das: Zuerst sich so verschicken, dass er möglichst unabhängig von einer Anwenderaktion ausgeführt wird, dann Admin- oder Systemrechte erlangen und sich festsetzen. Wenn die Anwenderaktion unbedingt gebraucht wird, dann probiert man zumindest Social Engineering in der Art von "Anbei Ihre Rechnung" - erfahrungsgemäß finden sich genug Leute, die's ausführen. Sie tun das vor allem dann, wenn sie keine Bedrohung erwarten, was wie gesagt bei Appleanwendern recht häufig ist - die Reaktionen hier im Thread gehen in die gleiche Richtung die ich auch gesprächsweise zu diesem Thema immer wieder erlebe.

Die Firewall nutzt hierbei recht wenig, denn sie verhindert dass Dienste sich von außen kapern lassen. Wird der Bösewicht aber lokal ausgeführt, schützt sie nicht.

Was die Remotevulnerabilities angeht: Die Firewall von MacOS 10.5.0 und 10.5.1 schließt leider nie vollständig dicht. Einzelne Dienste bleiben auch dann von außen erreichbar, wenn man auf "komplett zu" gestellt hat. In 10.5.1 hat Apple hierauf dadurch reagiert, dass die Optionen in der Firewall dies auch halbwegs verständlich anzeigen, "Zu" ist aber nicht verfügbar gewesen. Ob es in 10.5.2 anders ist, weiß ich nicht. Brisanterweise hat Apple bei 10.5.0 z.B. einen OSS-NTP-Daemon eingesetzt und durch die Firewall erreichbar gemacht, der in einer alten Version war und bekannte Sicherheitslücken hatte. Dass niemand das Streichholz geworfen hat, lag da nicht am guten Tankdeckel sondern an den wenigen Tanks...

[CUOTE=emax]Ob Windoofs dadurch wohl besser wird ...?[/QUOTE]

Hallo Emax,

auf keinen Fall. Aber MacOS wird sicherer, wenn der Anwender vor dem Gerät das Problembewußtsein entwickelt. Ich hoffe, dass Du es so formuliert verstehen kannst.

Ciao,

Detlev

[ehemaliger Benutzer]

Ich möchte für Apple-Sicherheitsrisiken dieses Risikobewußtsein schaffen, und fühle mich dann in der Tat besser. Das hast Du richtig erkannt :-)

Aber Detlev, Du bist doch ein computererfahrener Mensch, willst Du denn noch als Prediger durch die Wüsten der Nullen und Einsen ziehen? Ich habe (mit wohl ähnlichen beruflichen Erfahrungen) erkennen müssen und dürfen, dass die Menschen das Problem der EDV sind. Die Programmierer, die Supporter, die Anwender. Beliebige Reihenfolge und jede Gruppe schiebt es immer den beiden anderen zu. Die Appelistas sind eine wirklich eigene Sorte, seit ich die Apples verwende verstehe ich sie ein wenig besser. Denen musst Du die Warnungen auf jeden Fall schöner verkaufen als mit Deinem Zitieren, so in grau winzigklein auf weiß, in Cellphan eingeschweißt, genau auf Packmaß in Styropor … bei denen erreichst Du mit einem dreckigen Zitat aus einer Quelle, deren besondere Apple-Freundlichkeit nicht nachgewiesen ist, nichts. Und bei den Windows-Nutzern erreichst Du, obwohl die dreckige Kartons von Billiglieferanten gewöhnt sind, so auch nichts. Bestenfalls Echternacher Springprozession.

Gib auf, mach' ein paar schöne Fotos, trink' einen guten Wein (alternativ geht bei dem Wetter ein Päffgen immer, "ein" ist dabei keine Mengenangabe!). Und wundere Dich über nichts. Das erspart den Tinnitus und macht das Leben reich.

Viel Erfolg dabei und Gruß, Wolf

[Andreas Koch]

Detlev spricht da sicher einen wichtigen Punkt an, der allgemein in der Apple-Welt nicht so beachtet wird wie unter Windows, die eben bereits leidgeprüft sind. Wer sich da als Mac-User mal tiefer einarbeiten, sein System besser verstehen und im Endeffekt Leopard besser absichern möchte, kann hier nachschlagen:

http://images.apple.com/server/macos...g_20080530.pdf

Viele Grüße,
Andreas