LINUX.ORG.RU

Специалисты по ИТ-безопасности критикуют Mac OS X


0

0

На сей раз ее подверг критике старший специалист компании Independent Security Evaluators - Чарльз Миллер. По словам Миллера на сегодня в MacOS существуют более 50 программ, которые, будучи запущены даже из пользовательского профиля поднимают привилегии в системе.

Еще один вектор для атак на MacOS - это открытое программное обеспечение, например Samba, последнее обновление Mac-реализации которой вышло более 2 лет назад, Linux же версия Samba обновляется почти ежемесячно. "Если сравнить список исправленных ошибок безопасности Apple-версии Samba и Linux-версии, то несложно заметить, что первая идет с большим опозданием", - сказал Миллер.

Оригинал (на английском): http://news.com.com/8301-10784_3-9759...

>>> Краткие подробности (на русском)

★★★★★

Проверено: Tima_ ()

Главное рубить капусту, а всё остальное не важно (с) любая большая корпорация

troorl ★★
()

ну вот, такую непробиваемую раньше ось теперь поливают всем, чем можно

anonymous
()

>на сегодня в MacOS существуют более 50 программ, которые, будучи запущены даже из пользовательского профиля поднимают привилегии в системе.

Это эксплойты к самой макоси ? Или дырявые приложения которые суиднутые ? В любом случае неудивительно почему то.

anonizmus
()

Наконец-то хорошие новости про MacOS!

sv75 ★★★★★
()

Не читал, но рад за Mac OS X

Sroot
()

Статейка для тех, кто и в глаза мака не видел. :))

Каменты читать интереснее:

"There is no question that M$ pays for articles like this for them to point to and claim that winblows is a secure OS. Problem is we're not all that dumb." (с) http://news.com.com/5208-10784_3-0.html?forumID=1&threadID=30041&mess...

"Is someones opinion news, i mean how can a person with his job duties not think that?" (с) http://news.com.com/5208-10784_3-0.html?forumID=1&threadID=30041&mess... :)))

Так, что анонимусы и студиоузы протуберантного возраста могут сублимировать. :)))

Bioreactor ★★★★★
()

>последнее обновление Mac-реализации которой вышло более 2 лет назад

Бред какой-то.

Это проблема мантейнера из Samba team, при чем тут OS X?

Sun-ch
()

А давайте про критику виндовса писать?

anonymousI
()

> последнее обновление Mac-реализации которой вышло более 2 лет назад

неужто все так плохо и яблочники не смогли осилить сборку пакета?

isden ★★★★★
()
Ответ на: комментарий от Sun-ch

>последнее обновление Mac-реализации которой вышло более 2 лет назад Бред какой-то. Это проблема мантейнера из Samba team, при чем тут OS X? Sun-ch

Ну не скажи. Они взяли самбу в свою ОСь? Взяли. Значит и должны заботиться о безопасности... Тем, более, что за свою Ось они еще и денег просят..

Lemon_joe
()
Ответ на: комментарий от Lemon_joe

ну да, они взяли MS Office в свою ось. Значит и должны заботиться о безопасности... Тем, более, что за свою Ось они еще и денег просят..

anonymous
()
Ответ на: комментарий от anonymous

самба в отличии от, продукт открытый. путать хер с пальцем является глубоким заблуждением =)

isden ★★★★★
()
Ответ на: комментарий от Sun-ch

>>последнее обновление Mac-реализации которой вышло более 2 лет назад

>Бред какой-то.

>Это проблема мантейнера из Samba team, при чем тут OS X?

samba team релизит бинарники только на некоторые платформы. Это проблема гнилояблоков, что они не успевают пересобирать свежую самбу под свою платформу вот уже второй год подряд

MaratIK
()

"Стоит сразу отметить, что начинающие юные хакеры до сих пор не справляются с операционкой от Apple, а ломают её реальные профессионалы, обычно, хорошо известные прежними победами. На этот раз отличился Чарльз Миллер (Charles Miller), который, вместе со своими коллегами из Independent Security Evaluators, первым нашёл уязвимость в iPhone, а затем помогал её устранить." (C)

_затем помогал её устранить_ - вот основной "мессидж"! (http://www.maccenter.ru/news/26866)

Bioreactor ★★★★★
()

смотрим
http://www.apple.com/downloads/macosx/unix_open_source/samba.html
=> Samba 3.0.23d

Где он нашел Samba 3.0.10 ?

А то что Apple ненавязчиво подталкивает пользователей переходить на свежие версии MAC OS X - это думаю заметили все и давно ;)

Скажем Mac OS X 10.X.Y
Обновление OS Y->Y+1 - бесплатно и качаются автоматически
Только нажимай YES для их установки

А вот обновления X->X+1 - тут плати 130$
И новые программы доступны только в для новой X+1 версии ...

odip ★★
()
Ответ на: комментарий от Sun-ch

>Это проблема мантейнера из Samba team, при чем тут OS X?

самба team не обязана собирать пакетики для макоси, это проблема мэинтейнера пакета, но не samba team :)

alt0v14 ★★★
()

ппц, да, срочно пора маководам переквалифицироваться в гентушники и собирать-собирать новые версии софта, йууухуу, гого

50 суидных программ, хм, и чего? странная статья, попахивает заказом одной известной фирмы..

stave ★★★★★
()

Почему-то автор новости не упомянул, что много претензий к Safari и программам, запускаемым из него.

А проблема с устаревшими дырявыми версиями -- общая для всех систем, где обновление стоит денег.

acheron ★★★★
()
Ответ на: комментарий от stave

>странная статья, попахивает заказом одной известной фирмы..

Мне тоже показалось, что эта статья была заказана компанией "The Linux Foundation"

MaratIK
()
Ответ на: комментарий от isden

>> последнее обновление Mac-реализации которой вышло более 2 лет назад
>неужто все так плохо и яблочники не смогли осилить сборку пакета?

Это мог писать только человек не видивший в живую Mac. Обновления на Samba приходят.
Первый найденный:
Security Update 2007-007 (10.4.10 PPC)
bzip2
CFNetwork
Core Audio
cscope
gnuzip
Kerberos
mDNSResponder
PDFKit
PHP
Quartz Composer
samba
WebKit
WebCore

Post Date: July 31, 2007

Korwin ★★★
()
Ответ на: комментарий от odip

> Обновление OS Y->Y+1 - бесплатно и качаются автоматически
> Только нажимай YES для их установки
Да. Все верно.

> А вот обновления X->X+1 - тут плати 130$
Не вижу проблемы. Аналогия: Windows 95, XP, Vista - обновление до новой версии платное.

> И новые программы доступны только в для новой X+1 версии ...
А вот это не правда.

Korwin ★★★
()
Ответ на: комментарий от MaratIK

>Мне тоже показалось, что эта статья была заказана компанией "The Linux Foundation"

если они тратят на такое деньги, то становится очень грустно

stave ★★★★★
()
Ответ на: комментарий от stave

> протуберантного возраста

улыбнуло :)

главное в статье, пожалуй,

Apple's operating system doesn't randomize the location of the stack, the heap, the binary image or the dynamic libraries, meaning an attacker would know where in memory these applications are loaded on almost every machine running Mac OS X

а вообще ничего удивительного. код ядра более чем наполовину состоит из кода bsd, nextstep и mach. слепить столько чужого кода - само по себ ене очень просто. тут не до безопасности :)

anonymous
()
Ответ на: комментарий от anonymous

а. в русском переводе об этом нету :)

anonymous
()

Версии многих программ в сравнении с RHEL4 (к примеру) вполне совпадают. Ну и вопрос, если собрано с патчами, то какая дырявость?

a1s2d3
()
Ответ на: комментарий от Korwin

>> А вот обновления X->X+1 - тут плати 130$

>Не вижу проблемы. Аналогия: Windows 95, XP, Vista - обновление до новой версии платное.

>> И новые программы доступны только в для новой X+1 версии ...

>А вот это не правда.

Вижу проблему. Аналогия: Windows 95, XP, Vista - новые версии DirectX (соответственно, новые версии приложений, зависящие от этого API) доступны только для новой версии венды.

MaratIK
()
Ответ на: комментарий от MaratIK

> Вижу проблему. Аналогия: Windows 95, XP, Vista - новые версии DirectX (соответственно, новые версии приложений, зависящие от этого API)
> доступны только для новой версии венды.

DirectX - это к виндовс. А какой софт после выхода 10.4 стал недоступен для 10.3, 10.2??

Korwin ★★★
()
Ответ на: комментарий от Korwin

>DirectX - это к виндовс.

Про венду ты сам первый речь начал толкать.

>А какой софт после выхода 10.4 стал недоступен для 10.3, 10.2??

А какой софт после выхода Mac OS X стал недоступен для Mac OS 9, Mac OS 8???

MaratIK
()
Ответ на: комментарий от Korwin

> А какой софт после выхода 10.4 стал недоступен для 10.3, 10.2??
И даже если и есть, то что в этом удивительное?

Системы развиваются, появляются новые возмоности на уровне системы и естественно появляются приложения использующие эти возможности.

Korwin ★★★
()
Ответ на: комментарий от MaratIK

> А какой софт после выхода Mac OS X стал недоступен для Mac OS 9, Mac OS 8???

Ну вы ведь образованный человек, в самом деле. Сами догадаетесь почему?

Korwin ★★★
()
Ответ на: комментарий от Korwin

>> А какой софт после выхода Mac OS X стал недоступен для Mac OS 9, Mac OS 8???

>Ну вы ведь образованный человек, в самом деле. Сами догадаетесь почему?

Отсюда и начинаются проблемы с обновлением софта для систем X.Y с платным обновлением X -> (X+1). Что и было выше указано. Т.е. если мы хотим из софта что-то посвежее и безглючнее, то должны отбашлять, чтобы система стала (X+1).Y

MaratIK
()
Ответ на: комментарий от MaratIK

> Т.е. если мы хотим из софта что-то посвежее и безглючнее, то должны отбашлять, чтобы система стала (X+1).Y

Ну и?

Т.е. вы хотите сказать, виновата Apple в том, что она в новые версии X улучшает систему и добавляет новый функционал на уровне системы?

Или Apple виновата в том, что сторонии производители софта завязываются на функционале системы, а не тащят все с собой?

Korwin ★★★
()
Ответ на: комментарий от Korwin

>Т.е. вы хотите сказать, виновата Apple в том, что она в новые версии X улучшает систему и добавляет новый функционал на уровне системы?

Я хочу сказать, что Apple виновата в том, что она за переход на новые версии Х требует деньги.

MaratIK
()
Ответ на: комментарий от schakal

>Забавно. У меня Mac OS за фаерволлом, поэтому мне пофигу. =)

будет еще забавнее, если за твоим фаерволлом появится злоумышленник, например, какой-нить дрищ с ноутом и запущенной вредоносной программой подключится внутри твоей сети.

MaratIK
()

А на куй под МакОСь запускать самбу? Я вот со своим MacBook не парюсь подобными проблемами

anonymous
()

Mac OS X не является сколько-нибудь заметной серверной ОС, а за простыми пользователями вообще никто гоняться не будет. Поэтому толку от таких дыр никакого.

Aceler ★★★★★
()
Ответ на: комментарий от Sun-ch

>Ну значит, эта самба на маках, нахрен никому не нужна.

Конечно. Дело безопасности маководов с самбой - это дело самих маководов с самбой

MaratIK
()
Ответ на: комментарий от MaratIK

>Я хочу сказать, что Apple виновата в том, что она за переход на новые версии Х требует деньги. -- а то, что она кое-что вам не посасала, тоже должна? Удивляюсь, вроде, умные люди, но все им должны...

anonymous
()
Ответ на: комментарий от anonymous

> А на куй под МакОСь запускать самбу? Я вот со своим MacBook не парюсь подобными проблемами

Некоторые пользователи маков хотят collaboration work в рабочей сети с вендами

MaratIK
()
Ответ на: комментарий от MaratIK

Use Linux для этого. Маки покупают не для того чтобы самбу на них гонять, но, дело вкуса, конечно.

anonymous
()
Ответ на: комментарий от Aceler

> Mac OS X не является сколько-нибудь заметной серверной ОС, а за простыми пользователями вообще никто гоняться не будет. Поэтому толку от таких дыр никакого.

Почему же некоторые какеры до сих пор гоняются за десктопными вендами? Неужели, машины отсылающие спам и проводящие ддос-атаки канули в лету?

MaratIK
()

На своем MacBook Pro я включал самбу 1 (один) раз когда нужно было в офисе одной конторы в виндовую сетку зайти и кое-чего скачать с самба-шары. По умолчанию самба вырублена и если честно мне трудно представить какая в ней может быть необходимость (раз в год - не считается).

wildchild
()
Ответ на: комментарий от Bioreactor

> Так, что анонимусы и студиоузы протуберантного возраста могут сублимировать. :)))

КАКОГО ВОЗРАСТА??? :о))))))))))))))

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.