Sicherheitsalarm: Mavericks 10.9.1

Apple patzt bei der Sicherheitsüberprüfung von Signaturen, was vor allem bei E-Mail von Bedeutung ist. Dieser Fehler ist so signifikant, das es die Meldung sogar in die Tagesschau geschafft hat. Beitrag Tagesschau

Ob Dein Mac OS X von der Sichereitslücke betroffen ist, kann man HIER (Link) überprüfen.

Detailinfos kommen (mal wieder) nicht von Apple, aber (unter anderem) der Heiseverlag (mac&i, c’t) ist am Thema dran: Artikel mac&i (Link) / Update: Heise Online vom 23.2.14

Achtung, es können durch fehlende Signaturprüfungen auch Schadecode untergejubelt werden. Ich rate zur Vorsicht, solange kein Sicherheitsupdate zur Verfügung steht und empfehle dringenst, dieses einzuspielen - wenn es endlich kommt :exclamation: :exclamation: :exclamation:

Jetzt brauch ich nur noch ne aktuelle FritzBox und dann kann endlich jeder meine Daten lesen - mann wo leben wir eigentlich?

AVM hat richtig und schnell reagiert. Für ca. 80 Boxen ein Sicherheitsfirmwareupdate in 3 Tagen und dazu über ein Wochenende, zeig mir bitte mal einen anderen Routerhersteller, der ähnliches leistet - bei Netgear brauchen sie 10 Jahre um eine Backdoor zu schließen, siehe Kommentar zum Hack gegen AVM…

In Deutschland, 2014 :exclamation: Nur falls Du Dir die Uhr danach stellen möchtest… :w00t:

das war aber kein ernst gemeinter Kommentar von mir - ich hoffe Du hast “Humor”?

Sorry!

,
So lange du dich nicht mit den Diensten amlegst ist das alles
keine Sache für die Staatsanwaltschaft Hannover. :smile:

Hab’ ich, gerade jetzt “um” Karnevall. Da ich leicht zum Sakasmus neige, kommt auch nicht jeder mit meiner Humorauffassung klar, daher versuche ich es mit Smilies möglichst deutlich zu machen. (Siehe letzten Satz in meinem letzten Posting hier im Thread, den hätte ich mir bei “ernsthaft” verkniffen)

Warum? Apple hat es doch vergeigt, nicht Du (oder arbeitet Du am Mac OS X für Apple?) :exclamation:

[quote=“kosuan”]So lange du dich nicht mit den Diensten amlegst ist das alles
keine Sache für die Staatsanwaltschaft Hannover. :smile:[/quote]

@kosuan: Der ist gut :yeah:

1 „Gefällt mir“

24.02.2014: Das “Trauerspiel” geht weiter, weitere gesicherte Informationen zur SSL-Lücke, Verhaltensmaßnahmen, betroffene Mac OS X Versionen usw., findent man z. B. hier:
Ein Sicherheitsdesaster…
SSL-Lücke in Apple-Systemen: Was Sie jetzt tun können

Weitere Katastrophenmeldungen zum Thema im Tagesverlauf nicht ausgeschlossen.

und heise ist kaum erreichbar… - danke chrispiac!

.
, :drinb: :dring: :drinb:

[quote=“kosuan”]

.
, :drinb: :dring: :drinb:[/quote]

Ja, wenn die GroKo den Ausstieg aus dem Atom in Angriff nimmt, startet der Heise Verlag einen Einstieg in .atom, und scheint sich dabei zu verhaspeln. Ich denke, die kommen noch drauf … :hahaa:

hmmm… Fukushima - auf in eine strahlende Zukunft. :exclamation:

Firefox kann SSL auch in Mavericks richtig, Heise verlinkt auch auf eine Testseite.

Lustig ist ja wirklich das der Fehler durch eine doppelte “goto fail;”-Anweisung ausgelöst wird. Was fällt einem dazu ein: fail! :bigsmile:

Das Peinliche ist ja, das durch diese SSL Lücke auch ein gefälschtes Update untergejubelt werden kann, da die App Store Überprüfung auch über diese SSL Abfrage läuft. Dumm gelaufen Apple, jetzt kann man nicht mal Apple selber mehr trauen. Gäbe es nur ein Update mit md5 und Hashwert, dann könnte man wenigstens selber das Update überprüfen, der SSL Download aus dem Apple App Store ist aber nicht mehr sicher und somit theoretisch das Update koruppierbar.

Inzwischen ist auch das BSI Aufmerksam geworden: Technische Warnung BürgerCERT, im Auftrag vom BSI
… und Apple dreht weiter Däumchen - iOS in Version 6 und 7 gefixt, Mac OS X 10.9.1 wartet (gefühlt) schon eine Ewigkeit (Tage/Woche[n]) auf Hilfe und einzende Sicherheitsentwickler haben schon Abhilfe geschaffen (auf eigene Gefahr).
Das Warten geht weiter
Werden noch Wetten auf das Erscheinungsdatum angenommen?

Das mit dem SSL fürs Update ist ein interessanter Aspekt. Insofern auch im doppelten Wortsinne ein Doppelfail. :gdgrin:

und das ist alles so schwer zu programmieren, dass man lieber mal wartet, was noch alles so auffällt?

Ein Unding. Aber ich kann und mag nicht auf die Schnelle auf 10.8.x downgraden.

Ach wie süß, jetzt gibt es auch schon einen Demo-Exploit zur Ausnutzung der SSL Lücke. Na dann können wir ja den Kurs Mavericks 10.9.1 “Hacken für Anfänger” ja durchführen.

Kapitel 1: Wie bringe ich die umliegenden Macbook Nutzer im Cafe dazu, ihre Konten aufzurufen um die Kursteilnehmergebühr entrichten zu können? :smiling_imp:

Unbestätigten Gerüchten nach existiert der Bug seit Oktober 2012. Das ist zufällig der Moment, wo Apple dem NSA-Abkommen beigetreten ist. Das fixen des alten bugs ist ein Kinderspiel, aber das Programmieren der neuen Backdoor, inklusive PRISM-Schnittstelle dauert eben etwas länger. :gdgrin:

All das bestätigt mich nur in meiner Auffassung, dass es viel wichtiger ist, ein Betriebssystem zuallererst sicher zu programmieren und es auch so zu erhalten. Das benötigt selbstverständlich Zeit, gute Programmierer und (interne) Test; nicht nur durch Developer und Endanwender.

Ich brauchte nicht jedes Jahr ein neues OS X mit ach-wer-weiß-wieviel neuen Features. Apple entwickelt sich m.E. nach dabei in die völlig falsche Richtung. Das letzte OS alter Art war Snow Leopard. Danach hat Apple endgültig diesen Weg verlassen. Mittlerweile ist es so, dass man ein neues OS X nicht vor Erscheinen der 3. Revision installieren sollte - na prima, dann sind ja erst die Hälfte bis ⅔ der Laufzeit vorüber und der Nachfolger steht schon in den Startlöchern, mit dem es so weiter geht. Die Kette der dann häufig wieder einsetzenden Updates sonstiger Programme zur Anpassung an das neue OS X mal völlig aussen vor gelassen.
Wenn ein neues OS X wie Mavericks dann noch lokales Sync in iTunes weglässt, um ihre Cloud weiter auszubauen, fällt es mir nicht schwer, wieder zu OS X 10.8.5 zurück zu kehren.
Apple sollte sich aus diesem Hype einfach mal ausklinken und ihre OS sorgfältiger programmieren - DAS wäre echter Mehrwert gegenüber anderen OS, für den ich auch gerne bereit wäre zu bezahlen.
Grüße

John

Ja, diese “Featuritis” geht mir auch gehörig gegen den Strich. So richtig Fahrt hat das ja mit den Browserversionen genommen. Seit Chrome je Vierteljahr mit einer neuen Version aufkommt und Firefox auf den Zug aufspringt, wird jede Neuerung die früher einen Sprung um eine zehntel oder hundertstel Version rechtfretigte jetzt zu einer bahnbrechenden Vollversion hochgejubelt.

Bei Mac OS X fast das gleiche. Im Prinzip erscheinen die neuen Versionen um Treiber von neuen Geräten zu verbreiten und den Stand von Mac OS X und iOS gleich zu halten. Da Apple jedes Jahr ein neues iPhone/iPad usw. auf den Markt “schmeißt”, muß notgedrungen jedes Jahr ein neues Mac OS X auf den Markt. Dann werden solche “Nebensächlichkeiten” wie direkte Facebookunterstützung usw. hochgejubelt, aber die Anpassungen an Sicherheit und Verschlüsselung usw. kaum dargestellt, so das man nach dem Upgrade z. B. nicht mehr seine NAS wie gewohnt einbinden kann und bekommt erst auf Nachfrage und Recherche nach ein paar Monaten nach Erscheinen des neues Systems präsentiert, das es keine Möglichkeit der Kompatibilität mehr gibt. Dann muß abgewogen werden, ob große Teile der Infrastruktur ausgetauscht werden müssen und was dabei das geringere Übel ist.

Im Augenblick treibt Apple einen nicht geringen Teil seiner Kunden im Bereich Forschung und Lehre und teilweise auch in Produktiven Bereichen direkt Linux in die Arme, in Bereich Buchhaltung, Management wieder zurück zu Windows. Es ekelt mich schon ein wenig an, das schöne iMacs angeschaft werden um dann standardmäßig mit Windows darauf zu arbeiten, leider kann ich die Argumente der Leute, die das so machen inzwischen nachvollziehen, es ist betrieblich in einigen Bereichen geradezu notwendig. Dabei tritt Apple den Bereich Print & Layout, mit dem sie früher groß geworden sind, gehörig gegen das Schienbein. Gut, die Umsätze im Kreativbereich haben sich heute ins Internet & Co verlagert und da hat sich Apple angepasst, aber wenn sie wenigstens die Option bieten würden einige Mac Book (Pros)/Retina auch mit entspiegelten Displays (vom iMac ganz zu Schweigen) anzubieten, dürfte dieses Segment für Apple besser zugänglich machen, als nur Schminkspiegel als Monitor/Display anzubieten. Inzwischen kann man ja schon froh sein, das Apple ihre Rechnersparte nicht abstoßen und nur noch mit den i-dioten Geräten weiter wächst. Der Computerbereich erscheint mir so langsam als der Klotz am Bein des Unternehmens zu erscheinen. Lange Lebenszyklen der Einsteigerprodukte inklusive seuftz.

Lange Lebenszyklen sind an sich ja gut. Problem ist nur: Mit jedem Jahr hat man nur die Wahl entweder auf dem alten System so lange als möglich zu bleiben, was auch fade ist irgendwo, aber funktioniert. Oder eben: Man läßt sich auf die Achterbahnfahrt ein und versucht sich an den neuen Fehlern der “frischen” Systeme.

Wieso gibts da keine Standards, die dann zusichern, dass popelige Hardware wie Router / WLAN AP /Scanner wenigstens über 3 Jahre mitlaufen können, ohne dass man ständig das Gefühl hat, es fehlt was?

Aber auch Microsoft ist ein Schlag in die Magengrube. Win 8 ist ja so anders, dass man es als langjähriger Windowser kaum noch sinnvoll und so schnell wie die Vorgänger bedienen kann. Ich nutze das daher nicht mehr. Apple hat sich dank der ewigen Lieferzeiten des Mac Pro da ein gutes Geschäft vermiest, das iPhone ist technisch so wenig langlebig, dass ich das nun auch pensioniert habe und wohl so schnell auch kein neues anschaffen werde. Fingerabdruck-Scanner ist ja “nett”, aber wer will das?

Mich frustet, man würde ja zahlen, aber das, was man für das sauerverdiente bekommt, ist teils mehr Ärger als eine Entwicklung in die richtige, bedienerfreundliche Richtung. So ist mein Scanner mittlerweile auch schon wieder outdated, weils einfach keinen Treiber gibt. Aber die können mich, ich nutze das Ding mittels Win 7 im Parallels.