» »

Novo neodgovorno razkritje ranljivosti v Apple Mac OS X

Novo neodgovorno razkritje ranljivosti v Apple Mac OS X

The Register - V najnovejši verziji Applovega operacijskega sistema Mac OS X so odkrili že drugo resno ranljivost v dveh mesecih in že drugič se odkritelji niso držali kodeksa dobrih hekerjev. Osemnajstletni Italijan Luca Todesco je na Githubu objavil podrobnosti napada in delujočo izvorno kodo (proof of concept), ne da bi obvestil Apple in mu dal razumen rok, da ranljivost zakrpa. To je povzročilo precej hude krvi in številne resne kritike Todescovih dejanj.

Ranljive so verzije Mac OS X od 10.9.5 do 10.10.5, medtem ko najnovejša beta 10.11 s kodnim imenom El Capitan ni več ranljiva. Todesco je dejal, da je Apple obvestil, a je istočasno podrobnosti objavil tudi javno, ker se mu je to zdelo prav. Kodeks odgovornih razkritij prijaviteljem ranljivosti nalaga, da počakajo nek razumen čas - navadno 90 dni, da proizvajalec izda popravek, šele nato lahko podrobnosti nekritično priobčijo vsem. Šele če proizvajalec v tem času ne reagira, je nezakrpano ranljivost upravičeno naznaniti širnemu svetu. V preteklosti so se zaradi tega roka že bile bitke med Googlom in Microsoftom, kako se šteje teh 90 dni, a obstoj nekega roka je bil ves čas nesporen.

Todesco je istočasno izdal razširitev jedra NULLguard, ki odpravi omenjeno ranljivost, a sedaj priporoča namestitev Esserjevega SUIDGuarda. Stefan Esser je minuli mesec odkril drugo zelo podobno ranljivost in prav tako ni predhodno obvestil Appla, kar je povzročilo plaz okužb. Todescova ranljivost pa se imenuje tpwn in je posledica površnosti v kodi, ki zaradi dereferenciranja ničelnega kazalca (NULL pointer dereferencing) omogoča pridobitev polnega dostopa do računalnika. Julijsko ranljivost je Apple odpravil minuli teden, tako da lahko nov obliž pričakujemo najkasneje v nekaj tednih.

103 komentarji

«
1
2 3

Thuban ::

in kazen za tovrstno ogrožanje bo kakšna?

Če nekdo najde luknjo in obvesti proizvajalca je to hvale vredno. Verjetno tudi denarne nagrade ali zaposlitve.

Če nekdo najde luknjo in jo takole objavi pa si seveda zasluži primerno kazen.
I'm sorry, Dave. I'm afraid I can't do that.

Zgodovina sprememb…

  • spremenil: Thuban ()

WarpedGone ::

Pasiven vlom.
Zbogom in hvala za vse ribe

Tomas 33 ::

Se bodo vsaj proizvajalci začeli zavedat, da je potrebno izdelek dokončat, ne pa plasirat na trg polizdelek in ga drago zaračunavat.

globoko grlo ::

točno to
Pa 90 dnevni rok za popravilo?
A na popravilo televizorja tut čakate 90 dni al letite jokat v štacuno da so vam prodal en krš?
Gigabyte B460M DS3H | I5 - 10400F | 16GB | 6700XT | P2 m.2 500GB

hojnikb ::

Leiito, kaj je zdaj to ?????

OS X suppost to be safe...

On a serious side, tudi manj pogosti sistemi so glihtako ranljivi.
#brezpodpisa

m0LN4r ::

To je apple, to ti popravijo v treh dnevih, ker si plačal visok premium.

Nebi se čudil, če ima nekdo interes od tega, da se začne delat škodljiva oprema zudi za osxe, končno.

ar ar el capitan
https://www.youtube.com/user/m0LN4r

Zgodovina sprememb…

  • spremenil: m0LN4r ()

Markoff ::

Thuban je izjavil:

in kazen za tovrstno ogrožanje bo kakšna?
Če nekdo najde luknjo in obvesti proizvajalca je to hvale vredno. Verjetno tudi denarne nagrade ali zaposlitve.
Če nekdo najde luknjo in jo takole objavi pa si seveda zasluži primerno kazen.

Hmm, če nekdo opazi, da gradbeno podjetje goljufa na razpisih, ne plačuje delavcev in podizvajalcev in nekakovostno izvaja delo in to objavi v sobotni prilogi, ne pa obvesti podjetja samega ali policije, mora biti kaznovan.

Aha.

Po katerem etičnem načelu ali členu kazenskega zakonika?
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Zgodovina sprememb…

  • predlagalo izbris: zee ()

Blazz ::

tudi sam se ne morem strinjati s tem kvazi kodeksom... multimiljarderske firme, ti jim boš pa zastonj sporočal ranljivosti... za take zadeve naj dajo sklad 100k usd na odkrito tako težjo ranljivost in bodo rešili problem... njih bo sedaj tole precej več stalo, kot če bi malce razmišljali..

SaXsIm ::

Zakoni o tem zaenkrat še ne obstajajo (vsaj kolikor je meni znano), vendar pa obstaja praksa. In ko se pišejo zakoni, sploh o stvareh, pri katerih še ni bilo pravne ureditve, se ponavadi izhaja iz prakse. Tako da tudi, če zakoni še ne obstajajo, obstajajo neke pravne smernice, sploh pa velja tudi tako, kot je že nekdo zapisal zgoraj - po naši zakonodaji gre za KD (oz vsaj sostorilstvo) nepooblaščenega vstopa v sistem. V vsakem primeru pa takšno razkritje je neodgovorno, saj proizvajalec ni imel možnosti izdati popravka, zato so uporabniki ranljivi, hkrati pa je avtor razkritja objavil še source za exploit, ki to ranljivost izkorišča. To je no-go.

Se pa strinjam, da je 90 dni mnogo mnogo preveč. Za bolj pomembne ranljivosti, kot je ta, bi bil smiselen rok 7 - 15 dni, za manjše ranljivosti pa do max 30 dni. Ne moreš pričakovati, da ne bo najditelj ranljivosti le-te prodal še na črnem trgu ali je sam izkoristil. Sploh glede na to, da so nagrade za razkrite ranljivosti relativno nizke.
SaXsIm

Zgodovina sprememb…

  • spremenil: SaXsIm ()

leiito ::

hojnikb je izjavil:

Leiito, kaj je zdaj to ?????

OS X suppost to be safe...

On a serious side, tudi manj pogosti sistemi so glihtako ranljivi.


Jaz sem sicer na Kapitanu, ampak ja, se zgodi tudi v boljših družinah, itak pa ob vsej moji ljubezni do Appla nisem nikoli trdil, da je varnost česarkoli absolutna. Tudi uber protivlomna vrata ne pomagajo, če ti pride palček čez dimnik.

Je pa, če prav razumem, osx exploit pogojen z inštalacijo non-trusted robe, česar najbrž ne počne veliko ljudi, če že, pa gre za reputabilne programe a la VLC, Better Touch Tool ali Albert, ampak mislil bi si tudi, da si ljudje na iOS naprave FB ipd. inštalirajo iz applove štacune, ne pa z nekih linkov, pa ni čist tko.

Thuban ::

Markoff je izjavil:

Thuban je izjavil:

in kazen za tovrstno ogrožanje bo kakšna?
Če nekdo najde luknjo in obvesti proizvajalca je to hvale vredno. Verjetno tudi denarne nagrade ali zaposlitve.
Če nekdo najde luknjo in jo takole objavi pa si seveda zasluži primerno kazen.

Hmm, če nekdo opazi, da gradbeno podjetje goljufa na razpisih, ne plačuje delavcev in podizvajalcev in nekakovostno izvaja delo in to objavi v sobotni prilogi, ne pa obvesti podjetja samega ali policije, mora biti kaznovan.

Aha.

Po katerem etičnem načelu ali členu kazenskega zakonika?


guljofija nesposobnih gradbenikov in pisanje operacijskega sistema sta dve povsem različni zadevi.
In seveda bi ta mulc lahko objavil da obstaja ranljivost, ne pa da je podal še kodo kako to ranljivost izkoristiti. Se ti ne zdi?

Blazz je izjavil:

tudi sam se ne morem strinjati s tem kvazi kodeksom... multimiljarderske firme, ti jim boš pa zastonj sporočal ranljivosti... za take zadeve naj dajo sklad 100k usd na odkrito tako težjo ranljivost in bodo rešili problem... njih bo sedaj tole precej več stalo, kot če bi malce razmišljali..


zato, da ne ogroziš milijonov ali celo milijard ljudi, ki imajo program s to napako. In točno to je ta makaronar storil.
I'm sorry, Dave. I'm afraid I can't do that.

Zgodovina sprememb…

  • spremenil: Thuban ()

videc ::

Naj pa dajo proizvajalci izdelek na trg brez lukenj ali jih sami najdejo in zakrpajo. Denarja imajo dovolj.

SaXsIm ::

Seveda. Koliko softwarea si že izdal? Koliko ga je bilo 100% "bulletproof?" Koliko milijonov vrstic kode je obsegal?
SaXsIm

m0LN4r ::

videc je izjavil:

Naj pa dajo proizvajalci izdelek na trg brez lukenj ali jih sami najdejo in zakrpajo. Denarja imajo dovolj.

Al pa -50% off na izdelek
https://www.youtube.com/user/m0LN4r

Thuban ::

osX ima čez 86 MILIJONOV vrstic kode. Morda naj zaposlijo tebe, Videc in boš scrollal čez tisto in iskal luknje?

Nimaš namreč niti najmanjšega pojma niti kako kompleksno je pisanje takšne kode niti koliko težje je šele to kodo testirat in iskat varnostne in funkcijske luknje.
Razvoj 100% bulletproff kode je nemogoč. Še v system.out.print("videc tega ne razume") se da dobit luknjo.
I'm sorry, Dave. I'm afraid I can't do that.

Zgodovina sprememb…

  • spremenil: Thuban ()

m0LN4r ::

Res je, je pa res, da od 2500EUR MPBja imaš večja pričakovanja, kot od 400EUR laptopa z linuxom. Vsaj 5x večja.
https://www.youtube.com/user/m0LN4r

Zgodovina sprememb…

  • spremenil: m0LN4r ()

Thuban ::

ja, imaš. Saj v osnovi dela več kot 5x bolje. Če pa se med 86 milijoni vrstic izvorne kode pojavita 2 resnejši napaki v 2 mesecih, pa to menda še ni tako kritično.
I'm sorry, Dave. I'm afraid I can't do that.

m0LN4r ::

Saj v osnovi dela več kot 5x bolje.

To bi pa rad videl kake praktične meritve, da bi vedel točno kje, ker se dandanes vse da izmeriti. Nočem kupiti mačka v žaklju.
https://www.youtube.com/user/m0LN4r

Zgodovina sprememb…

  • spremenil: m0LN4r ()

Thuban ::

slovenščina je lep jezik. Bolje pomeni marsikaj, ne samo "hitreje" kot si ti misliš.
I'm sorry, Dave. I'm afraid I can't do that.

m0LN4r ::

Torej subjektivno, ok.
https://www.youtube.com/user/m0LN4r

videc ::

Thuban je izjavil:

osX ima čez 86 MILIJONOV vrstic kode. Morda naj zaposlijo tebe, Videc in boš scrollal čez tisto in iskal luknje?

Nimaš namreč niti najmanjšega pojma niti kako kompleksno je pisanje takšne kode niti koliko težje je šele to kodo testirat in iskat varnostne in funkcijske luknje.
Razvoj 100% bulletproff kode je nemogoč. Še v system.out.print("videc tega ne razume") se da dobit luknjo.
Ne bluzi. A misliš, da si samo ti že kdaj napisal kak gonilnik za kakšno napravo? Ne sodi drugih po sebi.
Če imajo luknje v OS-u jih naj pokrpajo. Naj bodo boljši kot Microsoft.

Thuban ::

saj jih krpajo, samo jih morajo bebavi hekerčki javiti, namesto da jih javno objavijo. anede.

Kdo za božjo voljo misliš da bo na podjetju našel null pointer napakico med 86 milijoni vrstic kode? Resno te vprašam, me zanima tvoj vseznalski odgovor, ker si napisal toliko gonilnikov.
I'm sorry, Dave. I'm afraid I can't do that.

Zgodovina sprememb…

  • spremenil: Thuban ()

Invictus ::

@Draconis

Pustil Apple haterje, ki so spet dobili svojih 5 minut ... Schadenfreude ...

Ko je pa na Linuxu ranljivost, pa tako ne zna nihče naložiti kode, prevesti jedra, in ga uporabiti ...

Ampak saj vsi vsi tako ali tako na Windowsih, kjer špilajo igrice ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

videc ::

A pri Applu nimajo quality control oddelka za OSX? Očitno jih tako dobro poznaš, da mi lahko vsaj to poveš. :)
Bebavi hekerčki bodo pač hekali, kar bodo lahko, pa naj bo to OSX, BSD, Windows, ali kaj tretjega. Kdaj, kje in kako bodo to objavili je pa povsem njihova stvar.
Pri BSD in Linux je vsaj koda prosto dostopna. Pri OSX ni (tudi pri Windows-ih), vsaj kakor je meni znano.
Mislim pa, da se strinjaš, da luknje vedno bodo.

Zgodovina sprememb…

  • spremenilo: videc ()

Thuban ::

saj lepo da hekajo, če znajo. Odlično. samo najdeno luknjo javiš proizvajalcu, da jo zakrpa. Drugače si naredil kriminalno dejanje in ogrozil milijone uporabnikov (tudi tebe, če si na applu). In seveda si zasluži ustrezno kazen zaradi napačnega ravnanja.

Kdorkoli bo zaradi te luknje bilokako oškodovan, ga lahko toži. In bo zmagal. Tako se pač ne dela, zato obstaja tako imenovani hekerski kodeks.

Najdeš napako, javiš proizvajalcu in počakaš da jo zakrpajo nato pa objaviš poročilo. In izpadeš car. Ta mulo pa je izpadel samo trapast, nič drugega.
I'm sorry, Dave. I'm afraid I can't do that.

Zgodovina sprememb…

  • spremenil: Thuban ()

m0LN4r ::

Nisem vedel, da majo vsi enak proračun za OSdev
https://www.youtube.com/user/m0LN4r

videc ::

Thuban je izjavil:

saj lepo da hekajo, če znajo. Odlično. samo najdeno luknjo javiš proizvajalcu, da jo zakrpa. Drugače si naredil kriminalno dejanje in ogrozil milijone uporabnikov (tudi tebe, če si na applu). In seveda si zasluži ustrezno kazen zaradi napačnega ravnanja.
Kdorkoli bo zaradi te luknje bilokako oškodovan, ga lahko toži. In bo zmagal. Tako se pač ne dela, zato obstaja tako imenovani hekerski kodeks.
Najdeš napako, javiš proizvajalcu in počakaš da jo zakrpajo nato pa objaviš poročilo. In izpadeš car. Ta mulo pa je izpadel samo trapast, nič drugega.
Se sicer povsem strinjam s tem, kar si napisal, zanima me samo, zakaj se pri Applu sami malo ne potrudijo in sodelujejo z ljudmi, ki odkrijejo napake v kodi. Kakor sem malo spremljal, se pri Applu obnašajo, kot da jih to ne briga. Saj popravijo luknje, ampak verjetno hekerje in "hekerje" moti ta (vzvišen?) odnos.

Zgodovina sprememb…

  • spremenilo: videc ()

fiction ::

Thuban je izjavil:

in kazen za tovrstno ogrožanje bo kakšna?
Drakonične kazni za "ogrožanje"... jao eni res ne razumete. Včasih so bile napake bolj enostavne, več se je dalo na ugled in zato je nekdo, ki je nekaj našel kontaktiral proizvajalca. Zdaj je iskanje varnostnih napak v programski opremi (in sploh njihovo izkoriščanje) trši oreh in več ljudi v to investira mesece. Zato tudi jasno pričakujejo neko nadomestilo. Podjetja (in države) na sivem trgu plačujejo po par deset tisoč dolarjev. V takem okolju se praktično nihče več ne gre full-disclosure zastonj. Bug bounty programi so nastali kot odgovor proizvajalcev na te razmere. Bolje če oni "odkupijo" napako, kot pa da nekaj zlonamernih ljudi to masovno izkorišča.

Prej ali slej se izve za luknjo in jo zakrpajo. Takrat 0-day izgubi praktično vso vrednost. In v obeh primerih napak za OS X je šlo za to. Apple je napako odpravil v beti prihajajoče verzije, v trenutni verziji pa (še) ne. Torej je očitno nekako vedel za zadeve pa se mu ni zdelo vredno obvestiti svojih uporabnikov?! Vedno se morata obe strani obnašati odgovorno.

Raziskovalec je zadevo objavil šele po tem, ko je ni mogel več prodajati naprej (je videl popravek v beti). Ne vem, mogoče je bilo to neodogovorno ali pa je to samo ekonomska realnost. V tem trenutku je zadevo izkoristil še za 5 min. slave. In ta del ni tako sporen - Apple je bil že "obveščen", morda se le ni zavedal posledic napake. Poleg tega pa je avtor tudi napisal učinkovito orodje za zaščito. Sicer bi se pa Apple lahko obnašal malo bolj proaktivno in mogoče do vsega skupaj sploh ne bi prišlo (bug bounty, sam OS ne bi dovoljeval mapiranja naslova 0 tako kot imajo to že praktično vsi drugi OS-i itd.)

Gates je leta 2002 napisal "Trustworthy computing memo". Pri Applu še ni bilo take poteze.

Zgodovina sprememb…

  • spremenil: fiction ()

jlpktnst ::

Kar se mene tiče je čisto prav, glede na Applov odnos do celega sveta. kot pravi post nad mano bi Apple to lahko preprosto preprečil, pa imajo raje miljarde na banki.

Thuban ::

videc je izjavil:

Kakor sem malo spremljal, se pri Applu obnašajo, kot da jih to ne briga. Saj popravijo luknje, ampak verjetno hekerje in "hekerje" moti ta (vzvišen?) odnos.


prav da jih moti ta vzvišem odnso. mene tudi. ampak me bolj moti da iz arogantnosti ta heker potem ogrozi ostale uporabnike tega operacijskega sistema, da pokaže kak car je.

no, vsak po svoje pač.
I'm sorry, Dave. I'm afraid I can't do that.

Zgodovina sprememb…

  • spremenil: Thuban ()

WarpedGone ::

da pokaže kak car je.

Predvsem je pokazal, da je le še en omejen fachIdiot, ki ne vidi dlje od svojega zaslona.
Seveda je zaslovel, ampak ni vsaka slava takšne sorte, da bi si jo želel imet.

Apple je napako odpravil v beti prihajajoče verzije, v trenutni verziji pa (še) ne. Torej je očitno nekako vedel za zadeve pa se mu ni zdelo vredno obvestiti svojih uporabnikov?!

Ti še v življenju nisi spisal treh vrstic kode, knede?
Zbogom in hvala za vse ribe

mailer ::

Verjamem, da obstajajo primeri, ko so odkrili ranljivost, pa jim je proizvajalec plačal ogromne denarje samo da so bili tiho, ranljivosti pa seveda niso odpravili... Nekdo pač mora nadzirat uporabnike, če je to kakšna ameriška organizacija za kršenje človekovih pravic o zasebnosti pa še toliko bolje. Podpiram nagrade za odkrite ranljivosti je pa treba včasih razmislit katera nagrada je večja, tista od proizvajalca ali tista na črnem trgu...
Asus B560-I, Intel 11500, Corsair 16GB 3200MHz

Thuban ::

WarpedGone je izjavil:

da pokaže kak car je.

Predvsem je pokazal, da je le še en omejen fachIdiot, ki ne vidi dlje od svojega zaslona.
Seveda je zaslovel, ampak ni vsaka slava takšne sorte, da bi si jo želel imet.


očitno je bil moj sarkazem prešibak, da bi ga zaznal vsak. Seveda nisem mislil da je car, ampak da je "car". V mojih očeh je človek ki ni vreden niti najmanjšega spoštovanja, kljub temu da ima znanje da je odkril takšno napako.
I'm sorry, Dave. I'm afraid I can't do that.

Tomas 33 ::

Za vse, ki ste mnenja, da to dejanje ni vredu.

Ko je A380 zgubil motor, so vse prizemljili, dokler niso odkrili napake. Pa je Airbus plačeval penale za ta čas.
In tudi zaradi tega, je letalski promet danes tako varen.

Pa naj še proizvajalci SW naredijo isto.
Pomisli, da se upravlja vlake, promet, jedrske elektrarne, ...,...,

Govorim na splošno, ne samo za Apple.

darkolord ::

Tomas 33 je izjavil:

Pomisli, da se upravlja vlake, promet, jedrske elektrarne, ...,...,
E. YOU FURTHER ACKNOWLEDGE THAT THE APPLE SOFTWARE AND SERVICES ARE NOT INTENDED OR SUITABLE FOR USE IN SITUATIONS OR ENVIRONMENTS WHERE THE FAILURE OR TIME DELAYS OF, OR ERRORS OR INACCURACIES IN THE CONTENT, DATA OR INFORMATION PROVIDED BY, THE APPLE SOFTWARE OR SERVICES COULD LEAD TO DEATH, PERSONAL INJURY, OR SEVERE PHYSICAL OR ENVIRONMENTAL DAMAGE, INCLUDING WITHOUT LIMITATION THE OPERATION OF NUCLEAR FACILITIES, AIRCRAFT NAVIGATION OR COMMUNICATION SYSTEMS, AIR TRAFFIC CONTROL, LIFE SUPPORT OR WEAPONS SYSTEMS.

Ostali majo seveda enako.

Zavedati se je treba, da tak operacijski sistem stane nekaj 10 do nekaj 100 eurov. A380 stane skoraj pol milijarde.

Zgodovina sprememb…

  • spremenilo: darkolord ()

SleepyFE ::

SaXsIm je izjavil:

Zakoni o tem zaenkrat še ne obstajajo (vsaj kolikor je meni znano), vendar pa obstaja praksa. In ko se pišejo zakoni, sploh o stvareh, pri katerih še ni bilo pravne ureditve, se ponavadi izhaja iz prakse. Tako da tudi, če zakoni še ne obstajajo, obstajajo neke pravne smernice, sploh pa velja tudi tako, kot je že nekdo zapisal zgoraj - po naši zakonodaji gre za KD (oz vsaj sostorilstvo) nepooblaščenega vstopa v sistem. V vsakem primeru pa takšno razkritje je neodgovorno, saj proizvajalec ni imel možnosti izdati popravka, zato so uporabniki ranljivi, hkrati pa je avtor razkritja objavil še source za exploit, ki to ranljivost izkorišča. To je no-go.

Se pa strinjam, da je 90 dni mnogo mnogo preveč. Za bolj pomembne ranljivosti, kot je ta, bi bil smiselen rok 7 - 15 dni, za manjše ranljivosti pa do max 30 dni. Ne moreš pričakovati, da ne bo najditelj ranljivosti le-te prodal še na črnem trgu ali je sam izkoristil. Sploh glede na to, da so nagrade za razkrite ranljivosti relativno nizke.


Dvomim da bi se ti zdelo 7-15 dni smiselni rok, če bi ti prodal avto kjer ne delajo zavore. Poleg tega je Todesco izdal tudi popravek. Mi je pa ludno da tako pridno nekateri zagovarjate defektne produkte. V končni fazi so bili o tem obveščeni tudi uporabniki. Avtomobila tudi ne moreš vozit ko je v delavnici na popravilu. Al ne uporabljaš računalnika, al si offline, al pa uporabiš takoj objavljen popravek. Zadnja možnost pa je da tožiž Apple, ker oglašujejo in prodajajo svoj sistem kot varen.

SaXsIm ::

@Tomas 33 - Kar je seveda povsem izvedljivo. Ampak potem cena Apple računalnikov ne bo 2x višja od primerljivih računalnikov drugih proizvajalcev, ampak 10-1000x višja, primerljivo z ostalimi mission-critical sistemi.

Pač, sprijaznite se, apple ima v računalništvu največ dodane vrednosti na področju izgleda, oblikovanja in marketinga. V ostalih zadevah je precej podoben ostalim proizvajalcem. Predlagam pa, da se haterji nehate smešiti s komentarji. Pač, če si ga ne morete privoščiti, si ga pač ne, če pa vas moti, da si jih del populacije pač lahko, je to zadeva, ki se rešuje v 1 na 1 srečanjih s strokovno usposobljenim terapevtskim osebjem.
SaXsIm

xangxang ::

Ni neodgovorno. Odgovornost je na Applu. Zakonodaje ni, mulc ima pravico narediti kar hoče.

Lahko bi prodal rusom za par tisoč evrov. Naj Apple uvede sistem nagrajevanja in potem bo vse lepo tiho.

Zgodovina sprememb…

  • spremenilo: xangxang ()

Markoff ::

SaXsIm je izjavil:

po naši zakonodaji gre za KD (oz vsaj sostorilstvo) nepooblaščenega vstopa v sistem. V vsakem primeru pa takšno razkritje je neodgovorno, saj proizvajalec ni imel možnosti izdati popravka, zato so uporabniki ranljivi, hkrati pa je avtor razkritja objavil še source za exploit, ki to ranljivost izkorišča. To je no-go.

Se pa strinjam, da je 90 dni mnogo mnogo preveč.

Nepooblaščen vstop v sistem. Čakaj, čakaj, kaj pa če iščeš luknje v informacijskem sistemu, ki si ga SAM postavil in ga SAM uporabljaš? Si sam sebi naredil škodo? Poleg tega, mar želiš reči, da je objavljanje stvarnih napak na izdelkih kaznivo dejanje? In ne etična dolžnost obveščati javnost? Tule ne govorimo o istih stvareh.

Poleg tega - kaj če je ranljivost v resnici namensko postavljen backdoor (namenoma odprta vrata v inf. sisteme strank) - ali takšna zlonamerna koda ne klasificira kot kaznivo dejanje? In v takem primeru, ali nisi sostorilec, če avtorja backdoorja opozoriš nanj, saj si ga v bistvu opozoril, da je njegovo kaznivo dejanje odkrito in mu dal čas, da ga sanira?

Vprašanje je, kaj je bolj in kaj manj prav.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

c3p0 ::

videc je izjavil:


Pri BSD in Linux je vsaj koda prosto dostopna. Pri OSX ni (tudi pri Windows-ih), vsaj kakor je meni znano.
Mislim pa, da se strinjaš, da luknje vedno bodo.


Apple ima kar nekaj zadev pod open source, med drugim tudi OSX kernel (xnu). http://www.opensource.apple.com/

Markoff ::

Thuban je izjavil:

guljofija nesposobnih gradbenikov in pisanje operacijskega sistema sta dve povsem različni zadevi.

Nesposobni gradbeniki? Jaz pišem o goljufivih. Lopovih, ne butalcih. Pisanje OS, ki upravlja, say, jedrsko centralo ali FED/ECB tiskarno, ne zahteva nobene odgovornosti? Kaj pa, če namenoma vgrajuješ backdoorje oz. drugo kodo, ki krši zakonodajo (npr. zasebnost)?

Thuban je izjavil:

In seveda bi ta mulc lahko objavil da obstaja ranljivost, ne pa da je podal še kodo kako to ranljivost izkoristiti. Se ti ne zdi?

Lahko bi, se strinjam. A če bi objavil samo ranljivost, bi jo hekerji znali sami izkoristiti. Tisti malo manj hekasti pa lahko s poznavanjem konkretnih postopkov zlorabe sami preventivno zaščitijo sisteme, preden izide patch. Sicer pa - kje piše, da luknje črni hekerji niso že sami poznali? Da ni tip samo s kakšnega underneta pobral info?

Thuban je izjavil:

zato, da ne ogroziš milijonov ali celo milijard ljudi, ki imajo program s to napako. In točno to je ta makaronar storil.

OK, zdaj si pa začel pretiravati. Milijoni? Milijarde? Zaradi ene luknje? Pa na otroke moramo tudi misliti, mar ne?
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

c3p0 ::

fiction je izjavil:


Prej ali slej se izve za luknjo in jo zakrpajo. Takrat 0-day izgubi praktično vso vrednost. In v obeh primerih napak za OS X je šlo za to. Apple je napako odpravil v beti prihajajoče verzije, v trenutni verziji pa (še) ne. Torej je očitno nekako vedel za zadeve pa se mu ni zdelo vredno obvestiti svojih uporabnikov?! Vedno se morata obe strani obnašati odgovorno.


Odpravil v beti s patchem, ali pa napake v beti sploh nikoli ni bilo? Lahko, da je kak rewrite spotoma odpravil še ta bug, brez da je kdo kaj sploh vedel.

Markoff ::

Thuban je izjavil:

slovenščina je lep jezik. Bolje pomeni marsikaj, ne samo "hitreje" kot si ti misliš.

Kaj točno pa si mislil s tem: "bolje"? In katero enoto mere si uporabil?

Disklejmer: uporabljam iPhone 5S. 5x bolje od Reglje že res, od sodobne konkurence pa v ničemer. Je pa ca. 5x dražji, to pa.

Invictus je izjavil:

Pustil Apple haterje, ki so spet dobili svojih 5 minut ... Schadenfreude ...
Ko je pa na Linuxu ranljivost, pa tako ne zna nihče naložiti kode, prevesti jedra, in ga uporabiti ...
Ampak saj vsi vsi tako ali tako na Windowsih, kjer špilajo igrice ...

Red alert! Shields up! All hands to Applestations!
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Zgodovina sprememb…

  • spremenilo: Markoff ()

leiito ::

Markoff je izjavil:

Thuban je izjavil:

slovenščina je lep jezik. Bolje pomeni marsikaj, ne samo "hitreje" kot si ti misliš.

Kaj točno pa si mislil s tem: "bolje"? In katero enoto mere si uporabil?

Disklejmer: uporabljam iPhone 5S. 5x bolje od Reglje že res, od sodobne konkurence pa v ničemer. Je pa ca. 5x dražji, to pa.

Invictus je izjavil:

Pustil Apple haterje, ki so spet dobili svojih 5 minut ... Schadenfreude ...
Ko je pa na Linuxu ranljivost, pa tako ne zna nihče naložiti kode, prevesti jedra, in ga uporabiti ...
Ampak saj vsi vsi tako ali tako na Windowsih, kjer špilajo igrice ...

Red alert! Shields up! All hands to Applestations!


Če v to verjameš, je iracionalno, da ne prodaš 5S in si kupiš Tamagochi.

jlpktnst ::

darkolord je izjavil:

Tomas 33 je izjavil:

Pomisli, da se upravlja vlake, promet, jedrske elektrarne, ...,...,
E. YOU FURTHER ACKNOWLEDGE THAT THE APPLE SOFTWARE AND SERVICES ARE NOT INTENDED OR SUITABLE FOR USE IN SITUATIONS OR ENVIRONMENTS WHERE THE FAILURE OR TIME DELAYS OF, OR ERRORS OR INACCURACIES IN THE CONTENT, DATA OR INFORMATION PROVIDED BY, THE APPLE SOFTWARE OR SERVICES COULD LEAD TO DEATH, PERSONAL INJURY, OR SEVERE PHYSICAL OR ENVIRONMENTAL DAMAGE, INCLUDING WITHOUT LIMITATION THE OPERATION OF NUCLEAR FACILITIES, AIRCRAFT NAVIGATION OR COMMUNICATION SYSTEMS, AIR TRAFFIC CONTROL, LIFE SUPPORT OR WEAPONS SYSTEMS.

Ostali majo seveda enako.

Zavedati se je treba, da tak operacijski sistem stane nekaj 10 do nekaj 100 eurov. A380 stane skoraj pol milijarde.


Samo airbusov prodajo 1000, operacijskih sistemov pa 100000000, na koncu si na isti cifri in nekako ni preveč opravičljivo. Seveda se gre za denar, nihče pač ne bo popravil če ni nujno potrebno, 24/7 response in popravki v roku 1 dne so pač nekaj kar stane. Apple nekako nima preveč denarja in si tega ne morejo privoščit.

konspirator ::

jlpktnst
Apple nekako nima preveč denarja in si tega ne morejo privoščit.

Boš organiziral dobrodelni koncert zanje ?

Apple vreden 700 milijard dolarjev
https://slo-tech.com/novice/t628173#crta

Apple povečal dobiček
https://slo-tech.com/novice/t607452#crta
--

Zgodovina sprememb…

DoDaske ::

jlpktnst je izjavil:

darkolord je izjavil:

Tomas 33 je izjavil:

Pomisli, da se upravlja vlake, promet, jedrske elektrarne, ...,...,
E. YOU FURTHER ACKNOWLEDGE THAT THE APPLE SOFTWARE AND SERVICES ARE NOT INTENDED OR SUITABLE FOR USE IN SITUATIONS OR ENVIRONMENTS WHERE THE FAILURE OR TIME DELAYS OF, OR ERRORS OR INACCURACIES IN THE CONTENT, DATA OR INFORMATION PROVIDED BY, THE APPLE SOFTWARE OR SERVICES COULD LEAD TO DEATH, PERSONAL INJURY, OR SEVERE PHYSICAL OR ENVIRONMENTAL DAMAGE, INCLUDING WITHOUT LIMITATION THE OPERATION OF NUCLEAR FACILITIES, AIRCRAFT NAVIGATION OR COMMUNICATION SYSTEMS, AIR TRAFFIC CONTROL, LIFE SUPPORT OR WEAPONS SYSTEMS.

Ostali majo seveda enako.

Zavedati se je treba, da tak operacijski sistem stane nekaj 10 do nekaj 100 eurov. A380 stane skoraj pol milijarde.


Samo airbusov prodajo 1000, operacijskih sistemov pa 100000000, na koncu si na isti cifri in nekako ni preveč opravičljivo. Seveda se gre za denar, nihče pač ne bo popravil če ni nujno potrebno, 24/7 response in popravki v roku 1 dne so pač nekaj kar stane. Apple nekako nima preveč denarja in si tega ne morejo privoščit.



Če še dodam....Proizvodnja teh miljardo kosov SW-ja je samo copy medtem, ko je izdelava Airbusov vse kaj drugega kot copy...

Opravičila za slab SW ni....sicer moje mnenje je, da vse skupaj izhaja(lo) iz prepričanja, da bo hi tech znanje samo v domeni CIA in NSA-ja, ki bodo razne buge s pridom iskoriščale po svetu kot doma...Vse velike SW hiše so v domeni teh demonov....Tudi zaradi tega jim je znanje ušlo v public domeno.....

noraguta ::

Nagrade naj dvignejo, pa manj jamrajo nej.
Pust' ot pobyedy k pobyedye vyedyot!

Invictus ::

videc je izjavil:

A pri Applu nimajo quality control oddelka za OSX? Očitno jih tako dobro poznaš, da mi lahko vsaj to poveš. :)
Bebavi hekerčki bodo pač hekali, kar bodo lahko, pa naj bo to OSX, BSD, Windows, ali kaj tretjega. Kdaj, kje in kako bodo to objavili je pa povsem njihova stvar.
Pri BSD in Linux je vsaj koda prosto dostopna. Pri OSX ni (tudi pri Windows-ih), vsaj kakor je meni znano.
Mislim pa, da se strinjaš, da luknje vedno bodo.

Nabijaš v 3 krasne. OSX koda je na voljo.

Windows pa tudi če plačaš ...

Tebi se niti ne sanja ne kaj je quality control pri programiranju ... Ne uporabljaš velikih bvesed, ki jih ne razumeš.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()
«
1
2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Novo neodgovorno razkritje ranljivosti v Apple Mac OS X (strani: 1 2 3 )

Oddelek: Novice / Varnost
10329988 (20370) zmaugy
»

Google vztraja pri 90-dnevnem roku za odpravo lukenj, Microsoft nejevoljen

Oddelek: Novice / Varnost
3411743 (9376) BigWhale
»

Flashback pod nadzorom, a ni edini virus za mace

Oddelek: Novice / Varnost
158318 (7354) Cold1
»

Najbolj luknjičav Apple

Oddelek: Novice / Apple iPhone/iPad/iPod
3510555 (8269) MrStein
»

Še ena ranljivost v Linux jedru

Oddelek: Novice / Varnost
284221 (3162) fiction

Več podobnih tem