Mailor
21-05-2009, 10:24
http://blogs.zdnet.com/security/?p=3433
Al solito, la sicurezza in casa Apple è gestita malamente.
\discuss
\thread
\noflame
Al solito, la sicurezza in casa Apple è gestita malamente.
\discuss
\thread
\noflame
View Full Version : Apple e una politica di vulnerability assestment discutibile
Gennarino
21-05-2009, 20:41
Non e' colpa di Apple, ma di Sun. La vulnerabilita' e' di Java Runtime Environment 6, tutte le updates inclusa la 13.
La CVE e' del 2008, vecchia di 6 mesi, ma ripeto e' di Sun Java, non di Apple e cosi come e' affetto Mac OSX, sono altrettanto affetti gli altri sistemi operativi che utilizzano JRE.
Guarda il sito in firma per dettagli.
La CVE e' del 2008, vecchia di 6 mesi, ma ripeto e' di Sun Java, non di Apple e cosi come e' affetto Mac OSX, sono altrettanto affetti gli altri sistemi operativi che utilizzano JRE.
Guarda il sito in firma per dettagli.
Mailor
21-05-2009, 21:50
la vulnerabilità è patchata da sun da mesi
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5353
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5353
Gennarino
22-05-2009, 00:30
Mailor non voglio contraddirti, ne cominciare una partita a ping-pong ;)
http://secunia.com/advisories/35118/
http://www.securityfocus.com/bid/32608/info
http://www.securityfocus.com/bid/32608/references
Per i primi due, oltre al contenuto, guarda anche le date di inserimento/aggiornamento del bollettino, mentre per l'ultimo guarda quante reference ci sono.
Resto comunque dell'idea che e' Sun che deve fornire il JRE patchato e non Apple. Spetta al produttore l'onere di fix, non al distributore.
:cincin:
http://secunia.com/advisories/35118/
http://www.securityfocus.com/bid/32608/info
http://www.securityfocus.com/bid/32608/references
Per i primi due, oltre al contenuto, guarda anche le date di inserimento/aggiornamento del bollettino, mentre per l'ultimo guarda quante reference ci sono.
Resto comunque dell'idea che e' Sun che deve fornire il JRE patchato e non Apple. Spetta al produttore l'onere di fix, non al distributore.
:cincin:
Mailor
22-05-2009, 13:38
mh no temo tu non colga.
http://secunia.com/advisories/35118/
questo è riferito alla vulnerabilità presente in OsX NON risolta.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5353
questo è riferito alla vulnerabilità riconosciuta e PATCHATA da sun in gennaio.
apple non ha ancora inserito la patch nella sua release di java vm.
se qualcosa sfugge a me.. ma nei link che mi hai postato ci sono le referenze alla vendor patch rilasciata da sun.
http://secunia.com/advisories/32991/
notare l'update al 12 dicembre
http://secunia.com/advisories/search/?search=CVE-2008-5353
http://secunia.com/advisories/35118/
questo è riferito alla vulnerabilità presente in OsX NON risolta.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5353
questo è riferito alla vulnerabilità riconosciuta e PATCHATA da sun in gennaio.
apple non ha ancora inserito la patch nella sua release di java vm.
se qualcosa sfugge a me.. ma nei link che mi hai postato ci sono le referenze alla vendor patch rilasciata da sun.
http://secunia.com/advisories/32991/
notare l'update al 12 dicembre
http://secunia.com/advisories/search/?search=CVE-2008-5353
Gennarino
22-05-2009, 15:40
ecciairaggione ! :D
ho mischiato le due cose... coincidenza ha voluto che tu mettessi in evidenza un problema "vecchio" in concomitanza con un problema "nuovo"
:doh: mea culpa
ho mischiato le due cose... coincidenza ha voluto che tu mettessi in evidenza un problema "vecchio" in concomitanza con un problema "nuovo"
:doh: mea culpa
sirus
22-05-2009, 19:49
Inoltre, non è Sun che si occupa di rilasciare la piattaforma Java per Mac OS X ma è Apple stessa a farlo (non so per quali ragioni).
Quindi, se si scoprono delle vulnerabilità, è Apple che deve provvedere. ;)
Tornando in topic, sono d'accordo con Mailor. Apple alle volte è piuttosto "allegra" dal punto di vista della sicurezza.
Quindi, se si scoprono delle vulnerabilità, è Apple che deve provvedere. ;)
Tornando in topic, sono d'accordo con Mailor. Apple alle volte è piuttosto "allegra" dal punto di vista della sicurezza.
Max(IT)
22-05-2009, 22:11
Inoltre, non è Sun che si occupa di rilasciare la piattaforma Java per Mac OS X ma è Apple stessa a farlo (non so per quali ragioni).
Quindi, se si scoprono delle vulnerabilità, è Apple che deve provvedere. ;)
Tornando in topic, sono d'accordo con Mailor. Apple alle volte è piuttosto "allegra" dal punto di vista della sicurezza.
si, Apple ha la percezione di non avere bisogno di fix così veloci perchè il suo sistema operativo non è vittima di continui attacchi, e questo fa si che spesso siano lenti nel rilasciare security fix.
Del resto nella maggior parte dei casi queste vulnerabilità sono innocue per Mac OSX perchè non sfruttate da nessuno (mentre con Windows ci si buttano a pesce su ogni vulnerabilità scoperta)
Quindi, se si scoprono delle vulnerabilità, è Apple che deve provvedere. ;)
Tornando in topic, sono d'accordo con Mailor. Apple alle volte è piuttosto "allegra" dal punto di vista della sicurezza.
si, Apple ha la percezione di non avere bisogno di fix così veloci perchè il suo sistema operativo non è vittima di continui attacchi, e questo fa si che spesso siano lenti nel rilasciare security fix.
Del resto nella maggior parte dei casi queste vulnerabilità sono innocue per Mac OSX perchè non sfruttate da nessuno (mentre con Windows ci si buttano a pesce su ogni vulnerabilità scoperta)
sirus
22-05-2009, 22:32
si, Apple ha la percezione di non avere bisogno di fix così veloci perchè il suo sistema operativo non è vittima di continui attacchi, e questo fa si che spesso siano lenti nel rilasciare security fix.
Del resto nella maggior parte dei casi queste vulnerabilità sono innocue per Mac OSX perchè non sfruttate da nessuno (mentre con Windows ci si buttano a pesce su ogni vulnerabilità scoperta)
Già, purtroppo è così. :(
Del resto nella maggior parte dei casi queste vulnerabilità sono innocue per Mac OSX perchè non sfruttate da nessuno (mentre con Windows ci si buttano a pesce su ogni vulnerabilità scoperta)
Già, purtroppo è così. :(
Gennarino
26-05-2009, 16:30
Guardate qui: http://www.illegalaccess.org/
Come diceva il tipo che voleva appioparmi un aspirapolvere Folletto e se ne e' andato di casa con 2 denti in meno:
"problema ? --> Soluzione!" (indicando prima il mio letto e poi l'aspirapolvere)
Come diceva il tipo che voleva appioparmi un aspirapolvere Folletto e se ne e' andato di casa con 2 denti in meno:
"problema ? --> Soluzione!" (indicando prima il mio letto e poi l'aspirapolvere)
Max(IT)
28-05-2009, 20:57
Guardate qui: http://www.illegalaccess.org/
Come diceva il tipo che voleva appioparmi un aspirapolvere Folletto e se ne e' andato di casa con 2 denti in meno:
"problema ? --> Soluzione!" (indicando prima il mio letto e poi l'aspirapolvere)
non ho capito la battuta sul Folletto ma ho letto l' articolo.
Sembra una soluzione semplice, ma non mi piace pasticciare con il s.o. in quel modo.
Come diceva il tipo che voleva appioparmi un aspirapolvere Folletto e se ne e' andato di casa con 2 denti in meno:
"problema ? --> Soluzione!" (indicando prima il mio letto e poi l'aspirapolvere)
non ho capito la battuta sul Folletto ma ho letto l' articolo.
Sembra una soluzione semplice, ma non mi piace pasticciare con il s.o. in quel modo.
patanfrana
16-06-2009, 07:26
Vulnerabilità finalmente fixata: link (http://www.macitynet.it/macity/aA38446/apple_aggiorna_java_riparato_grave_bug_di_sicurezza.shtml)
Max(IT)
22-06-2009, 19:37
Vulnerabilità finalmente fixata: link (http://www.macitynet.it/macity/aA38446/apple_aggiorna_java_riparato_grave_bug_di_sicurezza.shtml)
sembra che ultimamente siano un pò più "reattivi" a questo genere di cose
sembra che ultimamente siano un pò più "reattivi" a questo genere di cose
manowar84
22-06-2009, 20:48
sembra che ultimamente siano un pò più "reattivi" a questo genere di cose
ah beh si, 6 mesi per la patch.... davvero reattivi :asd:
:D
ah beh si, 6 mesi per la patch.... davvero reattivi :asd:
:D
Max(IT)
22-06-2009, 21:22
ah beh si, 6 mesi per la patch.... davvero reattivi :asd:
:D
non sono 6 mesi da quando è stata "denunciata" la falla ...
E cmq in precedenza la risposta di Apple non c' era proprio, visto che partivano dal presupposto che il s.o. fosse intrinsecamente sicuro. Ultimamente le loro certezze non ci sono più, ed in qualche modo rispondono alle segnalazioni di vulnerabilità.
Questo per me è un bene.
:D
non sono 6 mesi da quando è stata "denunciata" la falla ...
E cmq in precedenza la risposta di Apple non c' era proprio, visto che partivano dal presupposto che il s.o. fosse intrinsecamente sicuro. Ultimamente le loro certezze non ci sono più, ed in qualche modo rispondono alle segnalazioni di vulnerabilità.
Questo per me è un bene.
manowar84
22-06-2009, 21:34
Ovvio che è un bene!! :)
cmq effettivamente non sono 6 mesi da quaando è stata segnalata o come dici te "denunciata"... sono 6 mesi da quando è stata corretta, è peggio in effetti :asd: è stata patchata da sun a gennaio :D
cmq effettivamente non sono 6 mesi da quaando è stata segnalata o come dici te "denunciata"... sono 6 mesi da quando è stata corretta, è peggio in effetti :asd: è stata patchata da sun a gennaio :D
Rich01
23-06-2009, 11:30
Ecco la discussione che cercavo...però vi pongo una domanda diretta...sto pensando di comprare un mac mini per sostituire il vecchio e logoro desktop di casa...io ho già un macbook unibody 13"...e ho pensato al mac mini perchè mi sono trovato benissimo con Mac OS X...vorrei abrogare definitivamente windows...il mio dubbio adesso è relativo alla vulnerabilità navigando in rete...sul mac sin'ora non ho trattato dati sensibili e ho sempre usato il pc windows dove ho l'internet security di kaspersky...quindi ho il dubbio se sarebbe rischioso eseguire le stesse operazioni online con mac os x...
Grazie a tutti per le vostre risposte... :-)
Grazie a tutti per le vostre risposte... :-)
Mailor
23-06-2009, 13:52
Ecco la discussione che cercavo...però vi pongo una domanda diretta...sto pensando di comprare un mac mini per sostituire il vecchio e logoro desktop di casa...io ho già un macbook unibody 13"...e ho pensato al mac mini perchè mi sono trovato benissimo con Mac OS X...vorrei abrogare definitivamente windows...il mio dubbio adesso è relativo alla vulnerabilità navigando in rete...sul mac sin'ora non ho trattato dati sensibili e ho sempre usato il pc windows dove ho l'internet security di kaspersky...quindi ho il dubbio se sarebbe rischioso eseguire le stesse operazioni online con mac os x...
Grazie a tutti per le vostre risposte... :-)
ciao.
allora, sinteticamente: per il trattamento di dati sensibili, l'argomento ha due aspetti.
1) riguarda i dati in locale, ad esempio dati di accesso, file di lavoro, etc
2) riguarda la trasmissione degli stessi per, ad esempio, acquisti online
per il primo punto, il problema esiste. Apple NON è particolarmente attenta alla sicurezza, sebbene dica di esserlo. Il sistema è pieno di vulnerabilità facilmente exploitabili a causa di due punti:
si basa su molta architettura open source, in cui i problemi vengono risolti in fretta. Non mettendo però a disposizione un framework diretto all'utente per l'aggiornamento (es: di apache o di sshd), ci si deve affidare unicamente alle releases di apple. Il sw rilasciato è stabile e relativamente sicuro, ma è spesso outdated, il che implica chiari problemi di sicurezza
i livelli di gestione della sicurezza in OSX sono abbastanza penosi, a partire da un ASLR malgestito, facilmente prevedibile e che evita l'esecuzione solo a livello di stack (se non erro) ma non di heap (o viceversa) -- puntualizzo che aslr e stack execution non c'entrano niente, ma lasciamo perdere i dettagli
a questo proposito, i rischi in cui incorri è che qualcuno, da remoto, possa accedere al tuo computer e farci quel che vuole. In ambito domestico questo è almeno improbabile (soprattutto se hai fastweb o sei dietro a una rete aziendale), ed in realtà il rischio di data leakage è minimo. Se si vuol essere sicuri, basta crittare ciò che si ritiene più importante (es: i miei dati bancari sono crittati aes-256, possono pure prenderli ma non sanno che farsene).
Lato software, il numero di trojan e virus in circolazione è talmente basso da risultare inconsistente, quindi per ora non c'è da preoccuparsi.
Per il secondo punto, invece, il S.O. non c'entra (quasi) nulla. La sicurezza dei dati trasmessi è quasi totalmente implementata nel protocollo di trasmissione, che è una questione che esula dal tipo di sistema operativo che si sta utilizzando.
Grazie a tutti per le vostre risposte... :-)
ciao.
allora, sinteticamente: per il trattamento di dati sensibili, l'argomento ha due aspetti.
1) riguarda i dati in locale, ad esempio dati di accesso, file di lavoro, etc
2) riguarda la trasmissione degli stessi per, ad esempio, acquisti online
per il primo punto, il problema esiste. Apple NON è particolarmente attenta alla sicurezza, sebbene dica di esserlo. Il sistema è pieno di vulnerabilità facilmente exploitabili a causa di due punti:
si basa su molta architettura open source, in cui i problemi vengono risolti in fretta. Non mettendo però a disposizione un framework diretto all'utente per l'aggiornamento (es: di apache o di sshd), ci si deve affidare unicamente alle releases di apple. Il sw rilasciato è stabile e relativamente sicuro, ma è spesso outdated, il che implica chiari problemi di sicurezza
i livelli di gestione della sicurezza in OSX sono abbastanza penosi, a partire da un ASLR malgestito, facilmente prevedibile e che evita l'esecuzione solo a livello di stack (se non erro) ma non di heap (o viceversa) -- puntualizzo che aslr e stack execution non c'entrano niente, ma lasciamo perdere i dettagli
a questo proposito, i rischi in cui incorri è che qualcuno, da remoto, possa accedere al tuo computer e farci quel che vuole. In ambito domestico questo è almeno improbabile (soprattutto se hai fastweb o sei dietro a una rete aziendale), ed in realtà il rischio di data leakage è minimo. Se si vuol essere sicuri, basta crittare ciò che si ritiene più importante (es: i miei dati bancari sono crittati aes-256, possono pure prenderli ma non sanno che farsene).
Lato software, il numero di trojan e virus in circolazione è talmente basso da risultare inconsistente, quindi per ora non c'è da preoccuparsi.
Per il secondo punto, invece, il S.O. non c'entra (quasi) nulla. La sicurezza dei dati trasmessi è quasi totalmente implementata nel protocollo di trasmissione, che è una questione che esula dal tipo di sistema operativo che si sta utilizzando.
Rich01
23-06-2009, 14:33
Grazie Mailor per la tua risposta...quindi se ho capito bene per la sicurezza dei file stessi residenti sul pc basterebbe crittarli con appositi programmi e quindi anche se dovessero essere trafugati non se ne farebbero un gran che...invece per operazioni online come acquisti o internet banking la sicurezza esula dal sistema operativo ed è affidata ai gestori del servizio...
Credo di aver interpretato bene il tuo pensiero...se ho sbagliato ti prego di correggermi...
Grazie ancora per la tua risposta... :-)
Credo di aver interpretato bene il tuo pensiero...se ho sbagliato ti prego di correggermi...
Grazie ancora per la tua risposta... :-)
factanonverba
23-06-2009, 14:34
Colpa di Sun! :)
Mailor
23-06-2009, 14:59
Grazie Mailor per la tua risposta...quindi se ho capito bene per la sicurezza dei file stessi residenti sul pc basterebbe crittarli con appositi programmi e quindi anche se dovessero essere trafugati non se ne farebbero un gran che...invece per operazioni online come acquisti o internet banking la sicurezza esula dal sistema operativo ed è affidata ai gestori del servizio...
Credo di aver interpretato bene il tuo pensiero...se ho sbagliato ti prego di correggermi...
Grazie ancora per la tua risposta... :-)
hai capito bene :)
factanonverba invece non ha capito la questione di java :asd:
Credo di aver interpretato bene il tuo pensiero...se ho sbagliato ti prego di correggermi...
Grazie ancora per la tua risposta... :-)
hai capito bene :)
factanonverba invece non ha capito la questione di java :asd:
manowar84
23-06-2009, 15:08
factanonverba invece non ha capito la questione di java :asd:
mmhh temo di no :asd:
mmhh temo di no :asd:
Max(IT)
23-06-2009, 22:10
Ecco la discussione che cercavo...però vi pongo una domanda diretta...sto pensando di comprare un mac mini per sostituire il vecchio e logoro desktop di casa...io ho già un macbook unibody 13"...e ho pensato al mac mini perchè mi sono trovato benissimo con Mac OS X...vorrei abrogare definitivamente windows...il mio dubbio adesso è relativo alla vulnerabilità navigando in rete...sul mac sin'ora non ho trattato dati sensibili e ho sempre usato il pc windows dove ho l'internet security di kaspersky...quindi ho il dubbio se sarebbe rischioso eseguire le stesse operazioni online con mac os x...
Grazie a tutti per le vostre risposte... :-)
Mailor ti ha dato una risposta fondamentalmente corretta, ma in soldoni se ti sentivi "sicuro" con Windows, passando a OS X non avrai certo maggiori preoccupazioni. Al limite qualcuna in meno ...
Fermo restando che un sistema "sicuro" è solo un sistema isolato (e quindi come tale inutilizzabile o quasi)
Grazie a tutti per le vostre risposte... :-)
Mailor ti ha dato una risposta fondamentalmente corretta, ma in soldoni se ti sentivi "sicuro" con Windows, passando a OS X non avrai certo maggiori preoccupazioni. Al limite qualcuna in meno ...
Fermo restando che un sistema "sicuro" è solo un sistema isolato (e quindi come tale inutilizzabile o quasi)
Mailor
23-06-2009, 22:57
edit : fa niente :)
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.