The Month of Apple Bugs weboldal indulásra készen

Címkék

Pár nappal ezelőtt a titokzatos LMH és az exploit író / biztonsági szakember Kevin Finisterre bejelentette, hogy a 2007-es év első hónapját az Apple Mac OS X-szel és az Apple programokkal kapcsolatos sebezhetőségek felfedésével fogják tölteni. Az első bug publikálását a mai napra ígérték. Ugyan az első bug még nem került publikálásra, de a weboldal már elkészült és üzemel.

Frissítés: MOAB-01-01-2007: Apple Quicktime rtsp URL Handler Stack-based Buffer Overflow

A közreműködők készítettek egy FAQ-t, amelyben azokra a gyakran ismételt kérdésekre adnak választ, amellyel az elmúlt napokban bombázták őket. Például, hogy miért nevezik "pink bug"-oknak a hibákat, mit jelent a "pwnies jelenség", és magyarázatot kaphatunk arra, hogy miért ez a projekt kabala állata.

A FAQ szerint a projekt azért indul, hogy a Mac OS X használók nagyobb biztonságban lehessenek a jövőben. Remélik, hogy a projekt miatt az Apple nagyobb figyelmet szentel majd a biztonsági hibáknak.

Az oldal bejelentése itt, maga az oldal itt.

A biztonsággal törődő Mac OS X felhasználók nevében reméljük, hogy a szakemberek valóban előállnak a sebezhetőségek leírásaival!

Hozzászólások

gyanitom ezutan trey nehany apple bugot is be tud szurni a linux bugok koze, es elobbihez a szokasos /o\ emoticonjait is odairja. varhatunk tovabba "most jol megmutattam az osx security dorkoknak" (hol?) tipusu beszolasokat is. mar csak azert mondom mert ezek a reakciok trey reszerol eddig is megvoltak.

miert szerinted mi lesz, ha nem ez?

mert rolad az nem mondhato el mint default viselkedes, hogy amint linux hibarol van cikk egybol elszall az agyad es jon a szokasos "szaaaaaar linux, szar kernel, szar debian szar minden bezzeg a makk osx az rulez", es mindenki kocsog aki galad mod linuxot bootol. Ha vannak fanatikus linuxosok akkor vannak fanatikus antilinuxosok is, egyiket sem tamogatom, de azt foleg nem, hogy allandoan kocsogolsz.

Nagyjabol erre szamitottam ami itt lent elkezdodott... ehhe. Mondjuk uj fiu vagyok erre, igy hozza kell tegyem nem tudom, mi a kettotok, illetve egyebkent az egyes *nix felhasznalok kozotti allando savazas alapja, vagy akar gyarthatnam a halmazokat egyeb oprendszerek relaciojaban is. Tok foloslegesnek erzem. Hasznalok Linuxot, MacOSXet es Windowst (abc) is, user szinten mindegyikrol van velemenyem, de nem hinnem, hogy barmelyiknek is profetaja kell legyek akarmelyik is a kedvencem.
Szeretem a HUPot, mert sok kerdesemre kapok valaszt, viszont sokszor a hozzaszolasok hangneme hat hmmm. Ezert leginkabb ro modban mukodom. Lehet, hogy ezt sem kellett volna ide irkalni...

:))))))

Köszi a linket, nagyon jó.
Újabb humoroldal, azért javaslom hogy aki egy pársoros levelet elemi helyesírási
szabályok betartásával akar megírni, az ne innen csemegézzen.

http://kepfeltoltes.hu/070101/haha_www.kepfeltoltes.hu_.jpg

:)
azért nyugodt vagyok hogy a PÁRTATLAN jólelkű emberek megvédikazországotagonoszoktól :D:D:D:D:D:D:

ui.: IGEN, direkt Vista alól ie7el PAINTTEL ;) alkalomhozillően...

Mindenkinek lehet velemenye, neked is. Ettol meg ne remeld, hogy mindenki elfogadja.. Ezenkivul minden projektnek ahol szarnak nagyivben a bekuldott real hibajegyekre van ilyenre szuksege. Harmadszor, az osx zart forraskodu projekt. Igy talan picit nagyobb figyelem esik ra, hogy zart forraskodnal is konnyeden kiderulhetnek biztonsagi problemak. Picit visszavehetnel azert. Sztem nem frocsogott az eredeti cikk attol amit itt lereagalsz. Lukra ugrasz.

neeeem... te lapítasz a fűben...

még jó, hogy ott a fűben lapítva megmondtad nekünk a frankót, hogy rohattgecytrey mit fog válaszolni, a rohattköcsöggye, még azelőtt, hogy bármit írt volna... jesssssz m4stah! U ar3 da real 1! Mindenki tisztel téged, hogy még trey-t is kíméled attól, hogy a billentyűit koptassa, mer' te még helyette is megíorod, sőtt még nála is jobban tudod mi a véleménye!

De igen. Gabucino kiéli magát a hupon, tudja azt hogy ahol sokan fórumoznak mindig akad olyan hozzászólás, amibe belekapaszkodhat, így erősítve önbizalmát. Nagyon gyerekes. Az infantilis emberek mindig nagy vitákat gerjesztenek a fórumokon, volt amelyik egész fun clubot is életre hívott ideig-óráig. Az embereket irritálja. Hát még ha ez bunkósággal párosul, akkor végképp. Gabucino olyan, mint Tüncike: senki sem tudja mi körülötte az igazság, mi az amit valójában gondol, de ezzel állandóan vonzza a figyelmet magára. Gabu is jól kereshetne szerintem a médiában, Havassal ideális bunkó pár lennének.

Vajon mennyit ér meg PR. szempontbol, ha nem találnak minden nap hibát ?

"Az első bug publikálását a mai napra ígérték. Ugyan az első bug még nem került publikálásra, de a weboldal már elkészült és üzemel."

En mar mintha latnam az elsot...

Azt hittem legalább kernel bugokat tesznek majd közzé... :(

Igazából azt gondolom, hogy ha én ilyen oldalt csinálnék, akkor az első bugok lennének a legütősebbek (bonyolult kernel bugok, amelyeket csak hosszas auditálás során lehet megtalálni és privilégium emelésre alkalmas), ehelyett bemutatnak egy olyan secholet, amelyiket auditálás nélkül, egy egyszerű fuzz testing technikával fel lehet fedezni...

ftp://ftp.cs.wisc.edu/paradyn/technical_papers/Fuzz-MacOS.pdf

Iszonyatos sok hibát fedeznek fel ezzel fuzz technikával. Azt hiszem a közeljövőben feltolok egy-két fuzzer -t.
A project honlapján van a többi fuzz jelentés.
http://www.cs.wisc.edu/%7Ebart/fuzz/fuzz.html

Hallottam, hogy van ilyesfél tesztelési mód, de hogy ennyire eredményes azt nem gondoltam volna.

Lehet, h más taktikát választanak.
Az elején úgyis beszélnek róla (megvolt a hype előre), aztán néhány nap múlva csökken a figyelem.
Akkor bedobnak egy nagyobb horderejű hibát, ami néhány napig megint a beszéd alapja lehet.
Így, ha ügyesek elég 5-6 komolyabb hibát találni, és még így is egész hónapban figyelnek rájuk.

Jah, kicsit nagyon nem esett le. De most már úgy figyelem a szöveget, eddig a "treybazmeghazucc" volt a menő, most ezek azért komolyabb cuccok, és most már "treybazzegflémetgenerálsz" megy.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

Lassan komolyan csodálom benned azt a képességet, ahogy totál össze nem függő dolgok közt kapcsolatot találsz. Persze nem te vagy az egyetlen, de azért magasan übereled a népet.

Az ilyenek vezetik le, hogy ha süt a Nap és feljön a Hold és épp kelet felé biciklizek, akkor 87,56%, hogy rámesik egy repülő, vagy hogy a barna kenyér 57,6%-kal csökkenti az esélyét annak, hogy a bal könyököm felett 3,46cm-rel rákos daganat fejlődjön ki...

Persze néha az ilyen feldobja az embert, de én utálom a barna kenyeret, unom a repülést és lassan azt is, hogy minden cikknél tied a második bejegyzés. De igyekszem megtanulni veled is együttélni, mint a táncoslábú balfékkel a Szemlőhegyi útról. Bár nehéz lesz... :-(

Üdv: Tamaas

Azért ez nem volt bonyolult feladat. Linuxozom, ezen a bolygón élek és néha barna kenyeret akar velem etetni egy-egy naív német. (Pedig a savanyú barna vagy az édes szendvicskenyerük ritka szar füstölt kolbásszal...)

De mentségemre legyen mondva 5. napja lázasan, ágyban fekszem... Hál' Istennek, itthon. :-)

Üdv: Tamaas

ui.: Amúgy sem a Nap, sem a Hold nem bolygó. Hivatalosan. De, ha nagyon akarod... :)

Hát, ha neked ízlik, egyed csak. Én neked adom a saját részem is. :-)

A múltkor leszedettem egy egész polc kenyeret egy eladóval és egyenként nézettem át őket, mert sem barna kenyér, sem savanyú kenyér nem kell, sem édes, sem olyan, amiben szója van. Fehér kenyeret akartam. Persze az nem volt.

Végül egy volt ami megfelelt a feltételeknek. Rozs + búza fele-fele arányban. Ez finom kenyér volt. De eddigre az öreg fószer meg akart ölni. Aztán viszont bevallotta, hogy ő is régen evett olyan jó kenyeret, mint gyerekkorában...

Addig is éljen a Baguette Brötchen. :-)

Üdv: Tamaas

Fasza :(
Nem tudtok egy elado PC-t? SOS kene... :)

A'rpi

Valamelyik nap olvastam itt, hogy az AMD és a Microsoft Ferrari notikat osztogatott Vistával. Szerintem ha jelentkezel náluk te még kaphatsz is egyet. Sok sikert! ;-)

Üdv: Tamaas

ui.: Ha valahogy hálálkodnod kell, akkor hátha fejlődik végre a Windows Media Player... :-)

pwnies meg p1nk meg pc-k es hasonlo erdekes dolgok oke, de mikor jon mar a masodik^Wtobbi?

AHAHAHAHA DESZAR!!!

thanks to David Maynor for confirming the issue in the Microsoft Windows version

jaj most nezem ez ugyanaz a lamer aki a fake 3rdparty wifiexploitot lebegtette, aztan eltunt. most meg vlc (!!!) exploitot irnak apple ellen, es windowson checkelik. ez hihetetlen. hova lehet meg sullyedni?