rootpipe

macOS

[ TrueSec | Ars Technica | MacWorld | El Reg ]

( Hijaszu | 2014. 11. 06., cs – 08:47 )

Ezért nem jó, hogy az egyetlen létező felhasználó (alapértelmezett telepítés szerint) adminisztrátori joggal rendelkezik :D. Csakhát ahhoz meg, hogy tényleg biztonságos legyen, a felhasználóknak tudniuk kellene, hogy mit csinálnak. De ha az alapvető biztonsági szabályokat megszegik a felhasználók, minden rendszeren lehet rést találni.

http://www.zdnet.com/serious-security-flaw-in-os-x-yosemite-rootpipe-70…

( pilisig | 2014. 11. 06., cs – 09:20 )

The current agreement with Apple is to disclose all details in mid-January 2015.

Dafuq? Csak én néztem hülyén amikor ezt olvastam?

-pilisig-

Az en ertelmezesemben ez csak egy PoC video volt, viszont nem tettek kozze tenyleges PoC kodot ami alapjan mas is esetleg kepes lenne ezt a tamadast kihasznalni (gondolom az apple-nek azert privatban elkuldtek az egesz anyagot). Ennek kozzetetelevel varnak januarig.
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Ezt értem, természetesen. Csak soknak tűnik az idő, még akkor is, ha csak PoC videó van jelenleg kint. Szerintem kicsit bátor arra alapozni, hogy "nyugi van, úgysem tudják kihasználni, hiszen nincs kiadva a kód". Kicsit soknak tűnik az átfutás. Vagy rosszul látom?

-pilisig-

Sajnos ez így szokott működni ezeknél a cégeknél. Az MS-ről, meg sok más cégről is nagyon gyakran olvastuk már, hogy nemhogy eddig nem mentek el, hanem még csak odáig sem, hogy válaszoljanak a bejelentőnek egy fél soros mailben hogy "köszi hogy szóltál, megnézzük". Az ilyen esetekben szokott az lenni, hogy publikálják pár hét vagy pár hónap várakozás, meg többszöri jelzés után az expolitot. Ehhez képest itt még viszonylag gyorsan és kulturáltan van kezelve a dolog.

Amúgy a két hónap határidőkérés még nem is sok, főleg ha biztonsági tartalékot is tettek bele (mélyebb vizsgálat, javítás, tesztelés). Illetve nem jelenti azt, hogy januárban lesz csak patch.

Mennyi ideig is tartott az Apple-nek a Shellshock-ot javitani (mikozben minden mas disztro meg tolta a javitast, volt hogy naponta tobbet is)?
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Source: http://en.wikipedia.org/wiki/Shellshock_(software_bug)

"The next day, Red Hat officially presented according updates for Red Hat Enterprise Linux,[51][52] after another day for Fedora 21.[53] Canonical Ltd. presented updates for its Ubuntu Long Term Support versions on Saturday, 27 September,[54] on Sunday, there were updates for SUSE Linux Enterprise.[55] The following Monday and Tuesday at the end of the month, Apple OS X updates appeared"

Next Monday: 1 hetre ra :)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

A Wikiben közzétett dátumok a "végső" javítást közlik ahogy látom (de amúgy igen, még az is külön poén volt, hogy az Apple az első verziót is már csúszva adta ki)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..