LINUX.ORG.RU

Специалисты по ИТ-безопасности критикуют Mac OS X


0

0

На сей раз ее подверг критике старший специалист компании Independent Security Evaluators - Чарльз Миллер. По словам Миллера на сегодня в MacOS существуют более 50 программ, которые, будучи запущены даже из пользовательского профиля поднимают привилегии в системе.

Еще один вектор для атак на MacOS - это открытое программное обеспечение, например Samba, последнее обновление Mac-реализации которой вышло более 2 лет назад, Linux же версия Samba обновляется почти ежемесячно. "Если сравнить список исправленных ошибок безопасности Apple-версии Samba и Linux-версии, то несложно заметить, что первая идет с большим опозданием", - сказал Миллер.

Оригинал (на английском): http://news.com.com/8301-10784_3-9759...

>>> Краткие подробности (на русском)

★★★★★

Проверено: Tima_ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

Главное рубить капусту, а всё остальное не важно (с) любая большая корпорация

troorl ★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

ну вот, такую непробиваемую раньше ось теперь поливают всем, чем можно

anonymous ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

>на сегодня в MacOS существуют более 50 программ, которые, будучи запущены даже из пользовательского профиля поднимают привилегии в системе.

Это эксплойты к самой макоси ? Или дырявые приложения которые суиднутые ? В любом случае неудивительно почему то.

anonizmus ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

>Проверено: Tima_ (*) 15.08.2007 12:00:46

Dead can walk! (C) Resident evil

gr_buza ★★★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

Наконец-то хорошие новости про MacOS!

sv75 ★★★★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

Не читал, но рад за Mac OS X

Sroot ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

Статейка для тех, кто и в глаза мака не видел. :))

Каменты читать интереснее:

"There is no question that M$ pays for articles like this for them to point to and claim that winblows is a secure OS. Problem is we're not all that dumb." (с) http://news.com.com/5208-10784_3-0.html?forumID=1&threadID=30041&mess...

"Is someones opinion news, i mean how can a person with his job duties not think that?" (с) http://news.com.com/5208-10784_3-0.html?forumID=1&threadID=30041&mess... :)))

Так, что анонимусы и студиоузы протуберантного возраста могут сублимировать. :)))

Bioreactor ★★★★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

>последнее обновление Mac-реализации которой вышло более 2 лет назад

Бред какой-то.

Это проблема мантейнера из Samba team, при чем тут OS X?

Sun-ch ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

А давайте про критику виндовса писать?

anonymousI ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

> последнее обновление Mac-реализации которой вышло более 2 лет назад

неужто все так плохо и яблочники не смогли осилить сборку пакета?

isden ★★★★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

>последнее обновление Mac-реализации которой вышло более 2 лет назад Бред какой-то. Это проблема мантейнера из Samba team, при чем тут OS X? Sun-ch

Ну не скажи. Они взяли самбу в свою ОСь? Взяли. Значит и должны заботиться о безопасности... Тем, более, что за свою Ось они еще и денег просят..

Lemon_joe ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

>>последнее обновление Mac-реализации которой вышло более 2 лет назад

>Бред какой-то.

>Это проблема мантейнера из Samba team, при чем тут OS X?

samba team релизит бинарники только на некоторые платформы. Это проблема гнилояблоков, что они не успевают пересобирать свежую самбу под свою платформу вот уже второй год подряд

MaratIK ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

"Стоит сразу отметить, что начинающие юные хакеры до сих пор не справляются с операционкой от Apple, а ломают её реальные профессионалы, обычно, хорошо известные прежними победами. На этот раз отличился Чарльз Миллер (Charles Miller), который, вместе со своими коллегами из Independent Security Evaluators, первым нашёл уязвимость в iPhone, а затем помогал её устранить." (C)

_затем помогал её устранить_ - вот основной "мессидж"! (http://www.maccenter.ru/news/26866)

Bioreactor ★★★★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

смотрим
http://www.apple.com/downloads/macosx/unix_open_source/samba.html
=> Samba 3.0.23d

Где он нашел Samba 3.0.10 ?

А то что Apple ненавязчиво подталкивает пользователей переходить на свежие версии MAC OS X - это думаю заметили все и давно ;)

Скажем Mac OS X 10.X.Y
Обновление OS Y->Y+1 - бесплатно и качаются автоматически
Только нажимай YES для их установки

А вот обновления X->X+1 - тут плати 130$
И новые программы доступны только в для новой X+1 версии ...

odip ★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

>Это проблема мантейнера из Samba team, при чем тут OS X?

самба team не обязана собирать пакетики для макоси, это проблема мэинтейнера пакета, но не samba team :)

alt0v14 ★★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

Все скоро Apple купит Samb-у

stealthy9 ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

ппц, да, срочно пора маководам переквалифицироваться в гентушники и собирать-собирать новые версии софта, йууухуу, гого

50 суидных программ, хм, и чего? странная статья, попахивает заказом одной известной фирмы..

stave ★★★★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

Почему-то автор новости не упомянул, что много претензий к Safari и программам, запускаемым из него.

А проблема с устаревшими дырявыми версиями -- общая для всех систем, где обновление стоит денег.

acheron ★★★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

>странная статья, попахивает заказом одной известной фирмы..

Мне тоже показалось, что эта статья была заказана компанией "The Linux Foundation"

MaratIK ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

>> последнее обновление Mac-реализации которой вышло более 2 лет назад
>неужто все так плохо и яблочники не смогли осилить сборку пакета?

Это мог писать только человек не видивший в живую Mac. Обновления на Samba приходят.
Первый найденный:
Security Update 2007-007 (10.4.10 PPC)
bzip2
CFNetwork
Core Audio
cscope
gnuzip
Kerberos
mDNSResponder
PDFKit
PHP
Quartz Composer
samba
WebKit
WebCore

Post Date: July 31, 2007

Korwin ★★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

> Обновление OS Y->Y+1 - бесплатно и качаются автоматически
> Только нажимай YES для их установки
Да. Все верно.

> А вот обновления X->X+1 - тут плати 130$
Не вижу проблемы. Аналогия: Windows 95, XP, Vista - обновление до новой версии платное.

> И новые программы доступны только в для новой X+1 версии ...
А вот это не правда.

Korwin ★★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

>Мне тоже показалось, что эта статья была заказана компанией "The Linux Foundation"

если они тратят на такое деньги, то становится очень грустно

stave ★★★★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

> протуберантного возраста

улыбнуло :)

главное в статье, пожалуй,

Apple's operating system doesn't randomize the location of the stack, the heap, the binary image or the dynamic libraries, meaning an attacker would know where in memory these applications are loaded on almost every machine running Mac OS X

а вообще ничего удивительного. код ядра более чем наполовину состоит из кода bsd, nextstep и mach. слепить столько чужого кода - само по себ ене очень просто. тут не до безопасности :)

anonymous ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

Версии многих программ в сравнении с RHEL4 (к примеру) вполне совпадают. Ну и вопрос, если собрано с патчами, то какая дырявость?

a1s2d3 ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

>> А вот обновления X->X+1 - тут плати 130$

>Не вижу проблемы. Аналогия: Windows 95, XP, Vista - обновление до новой версии платное.

>> И новые программы доступны только в для новой X+1 версии ...

>А вот это не правда.

Вижу проблему. Аналогия: Windows 95, XP, Vista - новые версии DirectX (соответственно, новые версии приложений, зависящие от этого API) доступны только для новой версии венды.

MaratIK ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

> Вижу проблему. Аналогия: Windows 95, XP, Vista - новые версии DirectX (соответственно, новые версии приложений, зависящие от этого API)
> доступны только для новой версии венды.

DirectX - это к виндовс. А какой софт после выхода 10.4 стал недоступен для 10.3, 10.2??

Korwin ★★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

>DirectX - это к виндовс.

Про венду ты сам первый речь начал толкать.

>А какой софт после выхода 10.4 стал недоступен для 10.3, 10.2??

А какой софт после выхода Mac OS X стал недоступен для Mac OS 9, Mac OS 8???

MaratIK ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

> А какой софт после выхода 10.4 стал недоступен для 10.3, 10.2??
И даже если и есть, то что в этом удивительное?

Системы развиваются, появляются новые возмоности на уровне системы и естественно появляются приложения использующие эти возможности.

Korwin ★★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

> А какой софт после выхода Mac OS X стал недоступен для Mac OS 9, Mac OS 8???

Ну вы ведь образованный человек, в самом деле. Сами догадаетесь почему?

Korwin ★★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

>> А какой софт после выхода Mac OS X стал недоступен для Mac OS 9, Mac OS 8???

>Ну вы ведь образованный человек, в самом деле. Сами догадаетесь почему?

Отсюда и начинаются проблемы с обновлением софта для систем X.Y с платным обновлением X -> (X+1). Что и было выше указано. Т.е. если мы хотим из софта что-то посвежее и безглючнее, то должны отбашлять, чтобы система стала (X+1).Y

MaratIK ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

> Т.е. если мы хотим из софта что-то посвежее и безглючнее, то должны отбашлять, чтобы система стала (X+1).Y

Ну и?

Т.е. вы хотите сказать, виновата Apple в том, что она в новые версии X улучшает систему и добавляет новый функционал на уровне системы?

Или Apple виновата в том, что сторонии производители софта завязываются на функционале системы, а не тащят все с собой?

Korwin ★★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

>Т.е. вы хотите сказать, виновата Apple в том, что она в новые версии X улучшает систему и добавляет новый функционал на уровне системы?

Я хочу сказать, что Apple виновата в том, что она за переход на новые версии Х требует деньги.

MaratIK ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

Забавно. У меня Mac OS за фаерволлом, поэтому мне пофигу. =)

schakal ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

>Забавно. У меня Mac OS за фаерволлом, поэтому мне пофигу. =)

будет еще забавнее, если за твоим фаерволлом появится злоумышленник, например, какой-нить дрищ с ноутом и запущенной вредоносной программой подключится внутри твоей сети.

MaratIK ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

А на куй под МакОСь запускать самбу? Я вот со своим MacBook не парюсь подобными проблемами

anonymous ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

Mac OS X не является сколько-нибудь заметной серверной ОС, а за простыми пользователями вообще никто гоняться не будет. Поэтому толку от таких дыр никакого.

Aceler ★★★★★ ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

>Ну значит, эта самба на маках, нахрен никому не нужна.

Конечно. Дело безопасности маководов с самбой - это дело самих маководов с самбой

MaratIK ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

>Я хочу сказать, что Apple виновата в том, что она за переход на новые версии Х требует деньги. -- а то, что она кое-что вам не посасала, тоже должна? Удивляюсь, вроде, умные люди, но все им должны...

anonymous ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

> А на куй под МакОСь запускать самбу? Я вот со своим MacBook не парюсь подобными проблемами

Некоторые пользователи маков хотят collaboration work в рабочей сети с вендами

MaratIK ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

> Mac OS X не является сколько-нибудь заметной серверной ОС, а за простыми пользователями вообще никто гоняться не будет. Поэтому толку от таких дыр никакого.

Почему же некоторые какеры до сих пор гоняются за десктопными вендами? Неужели, машины отсылающие спам и проводящие ддос-атаки канули в лету?

MaratIK ()

Re: Специалисты по ИТ-безопасности критикуют Mac OS X

На своем MacBook Pro я включал самбу 1 (один) раз когда нужно было в офисе одной конторы в виндовую сетку зайти и кое-чего скачать с самба-шары. По умолчанию самба вырублена и если честно мне трудно представить какая в ней может быть необходимость (раз в год - не считается).

wildchild ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.