Húsz 0day Mac OS X sebezhetőség bejelentésére készül Charlie Miller

 ( trey | 2010. március 18., csütörtök - 19:30 )

A H Security egyik cikke szerint az ismert biztonsági szakértő, a többszörös Pwn2Own győztes Charlie Miller arra készül, hogy húsz, eddig még ismeretlen Mac OS X biztonsági hibát hoz napvilágra. A bejelentésre a jövő héten kerül sor a Kanadában megrendezésre kerülő CanSecWest biztonsági konferencián. Miller a sebezhetőségeket fuzzing technika (a támadandó alkalmazás bemeneteinek megszórása annyi érvénytelen, váratlan vagy random adattal, amennyivel csak lehetséges annak érdekében, hogy felfedjük a program lehetséges sérülékenységeit) felhasználásával fedezte fel.

A részletek itt olvashatók.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Akkor már csak pár ezer marad. :)


suckIT szopás minden nap! A fájlokat tömörítsük, vagy a fájlrendszert?

"The world's most advanced operating system." Durr ott a fal... :-D

---------------
Értelmezési hiba! Elolvassa újra? I/N

Eszembe sem jut vedeni az Apple-t, de a 'fejlett' jelzo nem azt takarja, hogy a 'legbiztonsagosabb'. Az informatikaban szerintem aligha beszelhetunk biztonsagrol. Meroben rendszerfuggetlenul.

Persze, de csak humornak szántam. :-)

---------------
Értelmezési hiba! Elolvassa újra? I/N

"Az informatikaban szerintem aligha beszelhetunk biztonsagrol."

loooool...
___
info

+1

attól hogy valami fostos agyonhypeolt 16éves lányok kedvenc oprendszere ilyen, ne vonjunk le távolbamutató következtetéseket

********************
"Aki nem backupol az tehetsegtelen :-)"
"...ha nem tévedek!" (Sam Hawkins)
http://holo-media.hu

a vilagert se gondoljanak bele a tisztelt kollegak abba, mit is akarhattam mondani, meg megarthat. lol all you want. *shrug* :)

ne keverd ide a linuxot :)

--
NetBSD - Simplicity is prerequisite for reliability

Ennek a Charlie gyereknek tuti kint van a kepe az Applenel valami darts tablan. :) En drukkolok neki, rafer az almara par pofon.

az Apple legalább csak szimplán hülye a biztonsághoz, nem direkt fúrja a lyukakat a dolgain, hogy a virusirtasiparbol is legyen penz.

--------------------------------------------------------------------------------------------------------
A Windows 7 fejlesztoiben felmerult a kerdes, hogy belerakjak a kde 3.5.10-et. De Bill Gates ezt valaszolta: "Majd ha fagy"

Ugyan nem neveztél meg operációs rendszert az Apple ellenében, mégis reagálnék Windows irányból: a Microsoftnak egyáltalán nem érdeke, hogy szándékosan csökkentse operációs rendszereinek biztonságosságát, és az sem érdeke, hogy a virusirtásipart fejlessze. Vannak a Microsoftnak saját biztonsági megoldásai is, és ezek sem a Windows hibákira épülnek, hülyén is nézne ki, ha a saját hibáinkra pénzért árulnánk további termékeket - ki venné azt meg? :) 0day hibákra csak egy jó patch management rendszer (pl WSUS, WU), jó biztonsági folyamatok, vagy egy jó NIS rendszer tud védeni (pl. a Forefront Threat Management Gateway).

Az más kérdés, hogy a biztonsági piac számtalan szereplője már régóta abból él, hogy a Microsoft operációs rendszerek biztonságosságát kérdőjelezik meg. Mindegy, hogy igazuk van-e vagy sem, de azt gondolom, ebben a kérdésben nem releváns és nem hiteles az ő véleményük, mint ahogy a miénk sem az. Elfogult mindenki a saját megoldásaival kapcsolatban.

Budai Péter
TechNet programmenedzser
Microsoft Magyarország
http://www.microsoft.hu/technet

0day hibákra aligha jó a patch management rendszer :)

dehogynem. Egy pohár vízzel kell bevenni... :)

Tökéletesen igazad van. A patch management csak tüneti kezelés, és csak utólagos tud lenni 0day esetén. Nem megoldás, de elengedhetetlen folyamat.

Budai Péter
TechNet programmenedzser
Microsoft Magyarország
http://www.microsoft.hu/technet

a biztonsági piac számtalan szereplője már régóta abból él, hogy a Microsoft operációs rendszerek biztonságosságát kérdőjelezik meg.

Az a pár százezer vírus, trójai, worm, megafranctudjami az tényleg csak egy rágalomhadjárat része és nem egy szita lyukasságú oprendszeré.

Mindegy, hogy igazuk van-e vagy sem,

Nem mindegy, mert így érzelmi síkra tudja terelni a MS ügyeletese a dolgot, nem pedig tényszerű alapokra.

Elfogult mindenki a saját megoldásaival kapcsolatban.

Jó szöveg. De egyelőre a helyzet az, hogy komplett iparág alakult ki arra, hogy a Win rendszerek lyukait foltozza.

Emlékeztetnélek arra is, amikor protokol szinten volt támadható a rendszer: http://www.microsoft.com/technet/security/bulletin/ms03-034.mspx amire tényleg csak ez a ködvetés lehet az egyetlen adekvát válasz, kimagyarázni nem lehet.

Ja, persze.
Az má' teljesen mellékes, hogy a Linuxon több a luk mint a szarnak tartott Windowson.

Az almafanok meg szerencsétlenek mindig is meg vótak győződve arró, hogy az ő oprencerük _nagyon_ bunkó.

Az a legjobb a világban, hogy mindenki kurvára okosnak tartya magát; ebből élnek meg egyes szoftvergyártók, és baromira nem a Microsoftra gondútam most.

7 éve történt. Tanultunk belőle, és ennek szerintem már látható eredménye van.

Budai Péter
TechNet programmenedzser
Microsoft Magyarország
http://www.microsoft.hu/technet

Persze és a pármillió "virus" hány százaléka kerül a user hülyesége miatt a rendszerbe? (porn.exe-k nyitogatása, idióta toolbarok telepitése, mindezeket persze rendszergazdaként, rendszer és alkalmazások nem frissitése)

Aki azt hiszi, hogy pl linuxon ugyanilyen esetben jobb lenne a helyzet, az több mint naiv. Ha a user futtatni AKARJA az ártó kódot, akkor futtatni is fogja. (és ehhez nem kell semmiféle biztonsági rés)

Érdekes, hogy ugyanezen "szita lyukasságú" rendszer hozzáértő kezekben mission critical és nagyvállalati környezetekben is tökéletes muzsikál. Szemellenző rulez.

Bullshit!

(Ennek szellemében kell toborozni a szinergizált front-office on-stage vonalat.)

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

de, érdeke, legfeljebb nem szándékosan és nem közvetlenül.
biztonsági szempontból gagyi oprendszert fejleszteni olcsóbb.

Kicsit sokat költünk az operációs rendszer fejlesztésére, nem mondom, hogy spórolnánk rajta :) az más kérdés, hogy szerinted hasznosan költődik-e ez el, jó folyamatok és technikai szakértők vezényletével és közreműködésével zajlik ez a feladat.

Azt állíthatom, hogy a Microsoft mindent megtesz a lehető legbiztonságosabb operációs rendszer fejlesztéséért, ennek már szerintem és az eddigi visszajelzések és biztonsági "tények" alapján a Windows 7 jó jele. Hogy sikerrel járunk-e, azt majd ti és a felhasználók eldöntik természetesen.

De nem akarom tovább eltéríteni a témát, elvégre ez most végre egyszer nem is rólunk szól :)

Budai Péter
TechNet programmenedzser
Microsoft Magyarország
http://www.microsoft.hu/technet

Ilyenkor az Apple csak a Snow Leopard ágat javítja, vagy a korábbi Leopardot is? Esetleg a 10.4 és 10.3 is javítva lesz?

Javitja?! :)
>>Tell your parents not to ruin the world that you will live in.<<

A Leopardot is frissítik. Én mai napig azt használom és jönnek az update-ek.

Nekik szóltak? :)

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."

Nekem is ez jutott eszembe, a radioban hallottam erről, fantasztikus reklámjuk volt. Elhangzott benne a biztonság szó is :)

ilyenkor nyugszok meg hogy mi linux-ot hasznalunk

És ez tart addig, míg linuxszal kapcsolatban nem jelentenek be 0day sebezhetőségeket?

Ave, Saabi.

Nem vagyok nagy biztonsági szakember, de Miller most vagy rettentő módon érti a dolgát vagy tényleg ennyire sok 0day bug lenne a Mac OS X-ben?

--------------------
http://ricsipontaz.hogyan.org --- http://fullcircle.hu

Szerintem elég sok rendszerben van 0day bug.
A biztonságra tervezni kell, ugy implementálni, utána tesztelni tesztelni tesztelni, amin nagyon sok ido és pénz.
Gondolom van sok százezer soros kód, azt mindet átnézni biztonság szempontjábol, az nem egyszerű...

s/Mac OS X/általános célú szoftverek/
s/0day/security/

Előadásának címe: "An analysis of fuzzing 4 products with 5 lines of Python"

Tippelj, mi a válasz a kérdésedre...

"s/Mac OS X/általános célú szoftverek/"

Azert az OSX-el nem a legkemenyebb celpontot valasztotta, lassuk be.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

ez nem vitás, ilyet nem is állítottam

[off]
Én azt komolyan nem értem. Valahogy mindig ott köt ki minden ilyen vagy ehez hasonló cikk, hogy a Linux-ok a legjobbak.
De! Van egy játék amivel játszom (wow) de Linux alatt nem az igazi (szal összeakadnak szegény kari lábai LOL) erre a linux-ok nem hiszem hogy jó megoldást jelentenének (emiatt cseréltem a gépbe videó kártyát ati-ról nvidia-ra hátha az megoldás lesz, de nem). De ha szenvedni akarok akkor persze ezt használom mert mért ne (félreértés ne essék, a linuxot egyszerű felhasználói szarakodásra bárkinek ajánlom, mert filmet nézni, letölteni és netezgetni meg fészbuk meg iwiw és társai meg a emesen az nagyon fexik rajta, lehet nyúzni és nem hivogatnak hogy már megint nem jó valami). De ott a win amin megy tökéletesen. Tudom most biztos én vagyok a világ legrosszabb embere mert használok ms teerméket. De rontok a nemlétező imidzsemen, használok mac-et is. Az általam preferált játék akár csak win-en, megy rendesen. De nem akarom hájpolni a fostos 16éves lányok oprendszerét, de sok olyan kényelmi kis bizbasz megoldást vonultat fel, ami miatt valamiylen szinten élmény használni. Ugyanakkor igen ott van benne hogy semmi "tudományos" nincs benne mint a linux-ban, ahol olykor hegesztesz hogy valamit megcsinálj rendesen. Sok embernek az a lényeg hogy menjen minden, ne kelljen agyalni hogy mit is kell most csinálni??? Én napi szinten használok Linux-ot és sosem jelenteném ki hogy a linux az jó desktop-ra. Mert nem. Majd ha lesz egyszer egy rendes win emulátor amivel minden app-ot fel lehet majd rakni és minden rendesen műxik kompromisszumok nélkül. De most még ez sehol sincsen. Fejlődést meg nem igen látok ebbe az irányba, sem awin emulátorok piacán, se pedig az app/game gyárak se foglalkoznak a linux-(okk)al mint oprendszerrel. Ez szomorú. De a biztonság meg egy olyan kérdés hogy tudjuk hogy win-re kell antivir meg tudja a fene még mi, mac-re azt mondják nem kell semmi és linux-ra sem. Hát nem tom... személyes tapasztalatom szerint, ha elég körültekintőek vagyunk akkor teljesen mind1 milyen op-ot használunk. A legtöbb (vagy minden) esetben a felhasználó a hibás. Megnyit miden szart stb... de ezt szerintem nem kell nektek sem bemutatni. Az meg hogy mire mennyi vÍrust Írnak az meg... Kinek érné meg linuxra Írni a vÍrusokat??? vagy mac-re??? hiszen a win felhasználók vannak sokan mi meg kevesen. Biztonsági rések ide vagy oda, a mac se tökéletes a win se külömb de szerintem egyiket se kell használnia senkinek, nincs kényszer hál a jó égnek.
[/off]

Jatekra, fotosopra, flashdevelopra még mindig jobb a Windows. De a fizetos PC-s jatekipart meg fogja olni szep lassan a konzolipar szerintem (Jééé, nehezebben torheto! Jééé, csak 1 hardver ala kell fejlesztenunk). PC utoljara a civilization 3 idejen volt nekem megfelelo jatekra, azota "vegyel jobb gepet" kategoria.
Es abban igazad van, hogy idonkent heggesztgetni kell, de en pont azert hasznalok desktopon linuxot, mert ezt ki tudom debuggolni, ha Windows belassul, felraksz egy registry cleanert vagy egy tweak porgramot, megcrackeled es imadkozol. Mondjuk megint mas egy nagymama ubuntuja es mas az en archom, de mikor meglatok ubuntun egyket "bug report"-ot meg egy ket forum topikot, rohogogorcsot kapok (foleg a kontar valaszokon)
"Minden keygent vmware-bol futtatok" "Es a vmware keygenjet miben futtattad?"
Amiben viszont nem ertek egyet: a linux desktop fejlodesenek nagyon pici reszet teszi ki a wine

Meg amit elfelejt midnenki: Linuxot r1 user szinte csak hetekig hasznalja amikor kiprobalja, es elfelejti, hogy ő a windowst evek ota szokta meg. Pl en mar 6 eve hasznaltam windowst, mikor talalkoztam a regedittel meg az msconfiggal, es mar egy eve nem hasznaltam vistat meg 7-est, mikor megtudtam, hogy nem a ctrl+alt+del hanem a ctrl+shift+esc a task manager, es mar az xp-tol az volt a default, csak meghagytak a regit.

Ennek ellenere Windows, Linux, Mac is jo is es szar is desktopon, mindharom teljesen masban jo es masban rossz. A linuxnak még mindig a biztonsaga az erossege desktopon, ezt felesleges letagadni (de szerintem szerveren is)

Ennek ellenere valaki be tudna nekem linkelni a legutobbi linux-szal kapcsolatos 0day exploitot? Kivancsi lennek mi volt es hogy, es mennyi ido alatt javitottak.

--------------------------------------------------------------------------------------------------------
A Windows 7 fejlesztoiben felmerult a kerdes, hogy belerakjak a kde 3.5.10-et. De Bill Gates ezt valaszolta: "Majd ha fagy"

Koszi, mondtal ujjat a ctrl + shift + esc-el :) En a mai napig a ctrl + alt + del -t hasznaltam win7 alatt is. Nem tudtam hogy ilyen is van :)

ugyehogyugye? Ehhez tedd hozza, mikor sokan leszarozzak a linuxot, mert hasznaltak 2 hetig, es nem is hallottak még ctrl+escrol, ctrl+alt+escrol (utobbi nagyon hianyozna ma mar windowsban), kijeloles kozepsogombrol (ami magyarazat arra, hogy a firefox cimsora miert jelol ki maskepp (szarabbul), de van, aki még terminalrol se

--------------------------------------------------------------------------------------------------------
A Windows 7 fejlesztoiben felmerult a kerdes, hogy belerakjak a kde 3.5.10-et. De Bill Gates ezt valaszolta: "Majd ha fagy"

Valahogy mindig ott köt ki minden ilyen vagy ehez hasonló cikk, hogy a Linux-ok a legjobbak.

Képzeld el hogy van egy nagyon kedvelt, szép, okos, egyedi színű telefonod, de sajnos kicsit megkarcolódott az oldala. Ha tényleg szereted akkor úgy gondolsz rá hogy a kicsit karcos telefon, vagy mint a telefon ami az én egyedi telefonom?

Van egy játék amivel játszom (wow) de Linux alatt nem az igazi

Pontosan így van. De vajon mi lehet ennek az oka? Hmm. Lehet hogy az a baj hogy nem linuxra írták? Jé, tényleg nincs a linux a wow által támogatott oprendszerek közt. Például a mobiltelefonomon sem fut. Szarok ezek a mobilok. :-)
A lényege a dolognak hogy körbe lehet gányolni a dolgokat hogy mégis használható legyen. Innentől kezdve minden nem linuxos program ajándék. Én örülök a lehetőségnek hogy meg tudom oldani hogy linux alatt wowozzak ventriloval. Ha nem fogadom el a kompromisszumokat akkor használom a wines programokat winen, a linuxos programokat linuxon. Szerintem ennyi a titka a dolognak. Például nem nyavalyognék ha az egyik kedvenc programom a Frozen Bubble menne windowson, akár picit bugosan is, de sajnos nem megy mert nincs windowsra portolva, és körülgányolni sem lehet windowson.

Szerintem ez a dolog sokkal egyszerűbb mint sokan gondolják. A baj az hogy a linuxtól nagyon sokan a "csodát" várják. Tisztába kellene lenni vele hogy ez nem windows. Ha windows "app"-okat akarsz akkor ne emulátorozz hanem használj windowst, vagy fogadd el a kompromisszumokat, esetleg keress alternatívákat.

off

"Például nem nyavalyognék ha az egyik kedvenc programom a Frozen Bubble menne windowson, akár picit bugosan is, de sajnos nem megy mert nincs windowsra portolva"

Van javas verziója :)

Én csak vénségemre kezdtem el játszogatni. Ameddig nem volt ilyen igényem hogy menjen egy játék akkor teljesen elvoltam az ubimmal, szeretjük egymást a mai napig és még mindig a kedvenc disztróm... de a fene egye meg hogy több op-ot kell használnom ha mindent úgy akarok használni ahogy szerintem jó...

Játsszál konzollal! :)

nem csak javas verziója van, elég csak rákeresni...

off
Bevallom, nem kerestem rá googleval, a hivatalos oldal download részében ennyit írtak:
"As far as we know, the 2.x version is not yet ported to Windows (ideal time for trying Linux?). "
Jelenleg a 2.2-nél tartanak, a wines port az 1.0 és abban még nincs benne a lanos rész:-(

vmware desktop integration is megoldas, cygwin, szoval ha nagyon akarnad, akkor meg tudnad oldani

meg nezek nem jatszanak, akkor meg at tudod irn a forrast, mivel kint van es opensource es maris lesz neked winre is
___
info