Apple e una politica di vulnerability assestment discutibile

[Mailor]

http://blogs.zdnet.com/security/?p=3433

Al solito, la sicurezza in casa Apple è gestita malamente.

\discuss
\thread
\noflame

[Gennarino]

Non e' colpa di Apple, ma di Sun. La vulnerabilita' e' di Java Runtime Environment 6, tutte le updates inclusa la 13.
La CVE e' del 2008, vecchia di 6 mesi, ma ripeto e' di Sun Java, non di Apple e cosi come e' affetto Mac OSX, sono altrettanto affetti gli altri sistemi operativi che utilizzano JRE.
Guarda il sito in firma per dettagli.

[Mailor]

la vulnerabilità è patchata da sun da mesi

http://cve.mitre.org/cgi-bin/cvename...=CVE-2008-5353

[Gennarino]

Mailor non voglio contraddirti, ne cominciare una partita a ping-pong

http://secunia.com/advisories/35118/
http://www.securityfocus.com/bid/32608/info
http://www.securityfocus.com/bid/32608/references

Per i primi due, oltre al contenuto, guarda anche le date di inserimento/aggiornamento del bollettino, mentre per l'ultimo guarda quante reference ci sono.

Resto comunque dell'idea che e' Sun che deve fornire il JRE patchato e non Apple. Spetta al produttore l'onere di fix, non al distributore.

[Mailor]

mh no temo tu non colga.

http://secunia.com/advisories/35118/

questo è riferito alla vulnerabilità presente in OsX NON risolta.

http://cve.mitre.org/cgi-bin/cvename...=CVE-2008-5353

questo è riferito alla vulnerabilità riconosciuta e PATCHATA da sun in gennaio.

apple non ha ancora inserito la patch nella sua release di java vm.

se qualcosa sfugge a me.. ma nei link che mi hai postato ci sono le referenze alla vendor patch rilasciata da sun.

http://secunia.com/advisories/32991/

notare l'update al 12 dicembre

http://secunia.com/advisories/search...=CVE-2008-5353

[Gennarino]

ecciairaggione !
ho mischiato le due cose... coincidenza ha voluto che tu mettessi in evidenza un problema "vecchio" in concomitanza con un problema "nuovo"

mea culpa

[sirus]

Inoltre, non è Sun che si occupa di rilasciare la piattaforma Java per Mac OS X ma è Apple stessa a farlo (non so per quali ragioni).
Quindi, se si scoprono delle vulnerabilità, è Apple che deve provvedere.

Tornando in topic, sono d'accordo con Mailor. Apple alle volte è piuttosto "allegra" dal punto di vista della sicurezza.

[Max(IT)]

Quote:

Originariamente inviato da sirus

Inoltre, non è Sun che si occupa di rilasciare la piattaforma Java per Mac OS X ma è Apple stessa a farlo (non so per quali ragioni).
Quindi, se si scoprono delle vulnerabilità, è Apple che deve provvedere.

Tornando in topic, sono d'accordo con Mailor. Apple alle volte è piuttosto "allegra" dal punto di vista della sicurezza.

si, Apple ha la percezione di non avere bisogno di fix così veloci perchè il suo sistema operativo non è vittima di continui attacchi, e questo fa si che spesso siano lenti nel rilasciare security fix.
Del resto nella maggior parte dei casi queste vulnerabilità sono innocue per Mac OSX perchè non sfruttate da nessuno (mentre con Windows ci si buttano a pesce su ogni vulnerabilità scoperta)

[sirus]

Quote:

Originariamente inviato da Max(IT)

si, Apple ha la percezione di non avere bisogno di fix così veloci perchè il suo sistema operativo non è vittima di continui attacchi, e questo fa si che spesso siano lenti nel rilasciare security fix.
Del resto nella maggior parte dei casi queste vulnerabilità sono innocue per Mac OSX perchè non sfruttate da nessuno (mentre con Windows ci si buttano a pesce su ogni vulnerabilità scoperta)

Già, purtroppo è così.

[Gennarino]

Guardate qui: http://www.illegalaccess.org/

Come diceva il tipo che voleva appioparmi un aspirapolvere Folletto e se ne e' andato di casa con 2 denti in meno:

"problema ? --> Soluzione!" (indicando prima il mio letto e poi l'aspirapolvere)

[Max(IT)]

Quote:

Originariamente inviato da Gennarino

Guardate qui: http://www.illegalaccess.org/

Come diceva il tipo che voleva appioparmi un aspirapolvere Folletto e se ne e' andato di casa con 2 denti in meno:

"problema ? --> Soluzione!" (indicando prima il mio letto e poi l'aspirapolvere)

non ho capito la battuta sul Folletto ma ho letto l' articolo.
Sembra una soluzione semplice, ma non mi piace pasticciare con il s.o. in quel modo.

[patanfrana]

Vulnerabilità finalmente fixata: link

[Max(IT)]

Quote:

Originariamente inviato da patanfrana

Vulnerabilità finalmente fixata: link

sembra che ultimamente siano un pò più "reattivi" a questo genere di cose

[manowar84]

Quote:

Originariamente inviato da Max(IT)

sembra che ultimamente siano un pò più "reattivi" a questo genere di cose

ah beh si, 6 mesi per la patch.... davvero reattivi

[Max(IT)]

Quote:

Originariamente inviato da manowar84

ah beh si, 6 mesi per la patch.... davvero reattivi

non sono 6 mesi da quando è stata "denunciata" la falla ...
E cmq in precedenza la risposta di Apple non c' era proprio, visto che partivano dal presupposto che il s.o. fosse intrinsecamente sicuro. Ultimamente le loro certezze non ci sono più, ed in qualche modo rispondono alle segnalazioni di vulnerabilità.
Questo per me è un bene.

[manowar84]

Ovvio che è un bene!!

cmq effettivamente non sono 6 mesi da quaando è stata segnalata o come dici te "denunciata"... sono 6 mesi da quando è stata corretta, è peggio in effetti è stata patchata da sun a gennaio

[Rich01]

Ecco la discussione che cercavo...però vi pongo una domanda diretta...sto pensando di comprare un mac mini per sostituire il vecchio e logoro desktop di casa...io ho già un macbook unibody 13"...e ho pensato al mac mini perchè mi sono trovato benissimo con Mac OS X...vorrei abrogare definitivamente windows...il mio dubbio adesso è relativo alla vulnerabilità navigando in rete...sul mac sin'ora non ho trattato dati sensibili e ho sempre usato il pc windows dove ho l'internet security di kaspersky...quindi ho il dubbio se sarebbe rischioso eseguire le stesse operazioni online con mac os x...
Grazie a tutti per le vostre risposte... :-)

[Mailor]

Quote:

Originariamente inviato da Rich01

Ecco la discussione che cercavo...però vi pongo una domanda diretta...sto pensando di comprare un mac mini per sostituire il vecchio e logoro desktop di casa...io ho già un macbook unibody 13"...e ho pensato al mac mini perchè mi sono trovato benissimo con Mac OS X...vorrei abrogare definitivamente windows...il mio dubbio adesso è relativo alla vulnerabilità navigando in rete...sul mac sin'ora non ho trattato dati sensibili e ho sempre usato il pc windows dove ho l'internet security di kaspersky...quindi ho il dubbio se sarebbe rischioso eseguire le stesse operazioni online con mac os x...
Grazie a tutti per le vostre risposte... :-)

ciao.

allora, sinteticamente: per il trattamento di dati sensibili, l'argomento ha due aspetti.

1) riguarda i dati in locale, ad esempio dati di accesso, file di lavoro, etc
2) riguarda la trasmissione degli stessi per, ad esempio, acquisti online

per il primo punto, il problema esiste. Apple NON è particolarmente attenta alla sicurezza, sebbene dica di esserlo. Il sistema è pieno di vulnerabilità facilmente exploitabili a causa di due punti:

• si basa su molta architettura open source, in cui i problemi vengono risolti in fretta. Non mettendo però a disposizione un framework diretto all'utente per l'aggiornamento (es: di apache o di sshd), ci si deve affidare unicamente alle releases di apple. Il sw rilasciato è stabile e relativamente sicuro, ma è spesso outdated, il che implica chiari problemi di sicurezza
• i livelli di gestione della sicurezza in OSX sono abbastanza penosi, a partire da un ASLR malgestito, facilmente prevedibile e che evita l'esecuzione solo a livello di stack (se non erro) ma non di heap (o viceversa) -- puntualizzo che aslr e stack execution non c'entrano niente, ma lasciamo perdere i dettagli

a questo proposito, i rischi in cui incorri è che qualcuno, da remoto, possa accedere al tuo computer e farci quel che vuole. In ambito domestico questo è almeno improbabile (soprattutto se hai fastweb o sei dietro a una rete aziendale), ed in realtà il rischio di data leakage è minimo. Se si vuol essere sicuri, basta crittare ciò che si ritiene più importante (es: i miei dati bancari sono crittati aes-256, possono pure prenderli ma non sanno che farsene).

Lato software, il numero di trojan e virus in circolazione è talmente basso da risultare inconsistente, quindi per ora non c'è da preoccuparsi.

Per il secondo punto, invece, il S.O. non c'entra (quasi) nulla. La sicurezza dei dati trasmessi è quasi totalmente implementata nel protocollo di trasmissione, che è una questione che esula dal tipo di sistema operativo che si sta utilizzando.

[Rich01]

Grazie Mailor per la tua risposta...quindi se ho capito bene per la sicurezza dei file stessi residenti sul pc basterebbe crittarli con appositi programmi e quindi anche se dovessero essere trafugati non se ne farebbero un gran che...invece per operazioni online come acquisti o internet banking la sicurezza esula dal sistema operativo ed è affidata ai gestori del servizio...
Credo di aver interpretato bene il tuo pensiero...se ho sbagliato ti prego di correggermi...
Grazie ancora per la tua risposta... :-)

[factanonverba]

Colpa di Sun!