Apple e una politica di vulnerability assestment discutibile

Mailor · 21-05-2009, 10:24

http://blogs.zdnet.com/security/?p=3433

Al solito, la sicurezza in casa Apple è gestita malamente.

\discuss
\thread
\noflame

Gennarino · 21-05-2009, 20:41

Non e' colpa di Apple, ma di Sun. La vulnerabilita' e' di Java Runtime Environment 6, tutte le updates inclusa la 13.
La CVE e' del 2008, vecchia di 6 mesi, ma ripeto e' di Sun Java, non di Apple e cosi come e' affetto Mac OSX, sono altrettanto affetti gli altri sistemi operativi che utilizzano JRE.
Guarda il sito in firma per dettagli.

Mailor · 21-05-2009, 21:50

la vulnerabilità è patchata da sun da mesi

http://cve.mitre.org/cgi-bin/cvename...=CVE-2008-5353

Gennarino · 22-05-2009, 00:30

Mailor non voglio contraddirti, ne cominciare una partita a ping-pong

http://secunia.com/advisories/35118/
http://www.securityfocus.com/bid/32608/info
http://www.securityfocus.com/bid/32608/references

Per i primi due, oltre al contenuto, guarda anche le date di inserimento/aggiornamento del bollettino, mentre per l'ultimo guarda quante reference ci sono.

Resto comunque dell'idea che e' Sun che deve fornire il JRE patchato e non Apple. Spetta al produttore l'onere di fix, non al distributore.

Mailor · 22-05-2009, 13:38

mh no temo tu non colga.

http://secunia.com/advisories/35118/

questo è riferito alla vulnerabilità presente in OsX NON risolta.

http://cve.mitre.org/cgi-bin/cvename...=CVE-2008-5353

questo è riferito alla vulnerabilità riconosciuta e PATCHATA da sun in gennaio.

apple non ha ancora inserito la patch nella sua release di java vm.

se qualcosa sfugge a me.. ma nei link che mi hai postato ci sono le referenze alla vendor patch rilasciata da sun.

http://secunia.com/advisories/32991/

notare l'update al 12 dicembre

http://secunia.com/advisories/search...=CVE-2008-5353

Gennarino · 22-05-2009, 15:40

ecciairaggione !

ho mischiato le due cose... coincidenza ha voluto che tu mettessi in evidenza un problema "vecchio" in concomitanza con un problema "nuovo"

mea culpa

sirus · 22-05-2009, 19:49

Inoltre, non è Sun che si occupa di rilasciare la piattaforma Java per Mac OS X ma è Apple stessa a farlo (non so per quali ragioni).
Quindi, se si scoprono delle vulnerabilità, è Apple che deve provvedere.

Tornando in topic, sono d'accordo con Mailor. Apple alle volte è piuttosto "allegra" dal punto di vista della sicurezza.

Max(IT) · 22-05-2009, 22:11

Quote:

Originariamente inviato da sirus

Inoltre, non è Sun che si occupa di rilasciare la piattaforma Java per Mac OS X ma è Apple stessa a farlo (non so per quali ragioni).
Quindi, se si scoprono delle vulnerabilità, è Apple che deve provvedere.

Tornando in topic, sono d'accordo con Mailor. Apple alle volte è piuttosto "allegra" dal punto di vista della sicurezza.

si, Apple ha la percezione di non avere bisogno di fix così veloci perchè il suo sistema operativo non è vittima di continui attacchi, e questo fa si che spesso siano lenti nel rilasciare security fix.
Del resto nella maggior parte dei casi queste vulnerabilità sono innocue per Mac OSX perchè non sfruttate da nessuno (mentre con Windows ci si buttano a pesce su ogni vulnerabilità scoperta)

sirus · 22-05-2009, 22:32

Quote:

Originariamente inviato da Max(IT)

si, Apple ha la percezione di non avere bisogno di fix così veloci perchè il suo sistema operativo non è vittima di continui attacchi, e questo fa si che spesso siano lenti nel rilasciare security fix.
Del resto nella maggior parte dei casi queste vulnerabilità sono innocue per Mac OSX perchè non sfruttate da nessuno (mentre con Windows ci si buttano a pesce su ogni vulnerabilità scoperta)

Già, purtroppo è così.

Gennarino · 26-05-2009, 16:30

Guardate qui: http://www.illegalaccess.org/

Come diceva il tipo che voleva appioparmi un aspirapolvere Folletto e se ne e' andato di casa con 2 denti in meno:

"problema ? --> Soluzione!" (indicando prima il mio letto e poi l'aspirapolvere)

Max(IT) · 28-05-2009, 20:57

Quote:

Originariamente inviato da Gennarino

Guardate qui: http://www.illegalaccess.org/

Come diceva il tipo che voleva appioparmi un aspirapolvere Folletto e se ne e' andato di casa con 2 denti in meno:

"problema ? --> Soluzione!" (indicando prima il mio letto e poi l'aspirapolvere)

non ho capito la battuta sul Folletto ma ho letto l' articolo.
Sembra una soluzione semplice, ma non mi piace pasticciare con il s.o. in quel modo.

patanfrana · 16-06-2009, 07:26

Vulnerabilità finalmente fixata: link

Max(IT) · 22-06-2009, 19:37

Quote:

Originariamente inviato da patanfrana

Vulnerabilità finalmente fixata: link

sembra che ultimamente siano un pò più "reattivi" a questo genere di cose

manowar84 · 22-06-2009, 20:48

Quote:

Originariamente inviato da Max(IT)

sembra che ultimamente siano un pò più "reattivi" a questo genere di cose

ah beh si, 6 mesi per la patch.... davvero reattivi

Max(IT) · 22-06-2009, 21:22

Quote:

Originariamente inviato da manowar84

ah beh si, 6 mesi per la patch.... davvero reattivi

non sono 6 mesi da quando è stata "denunciata" la falla ...
E cmq in precedenza la risposta di Apple non c' era proprio, visto che partivano dal presupposto che il s.o. fosse intrinsecamente sicuro. Ultimamente le loro certezze non ci sono più, ed in qualche modo rispondono alle segnalazioni di vulnerabilità.
Questo per me è un bene.

manowar84 · 22-06-2009, 21:34

Ovvio che è un bene!!

cmq effettivamente non sono 6 mesi da quaando è stata segnalata o come dici te "denunciata"... sono 6 mesi da quando è stata corretta, è peggio in effetti

è stata patchata da sun a gennaio

Rich01 · 23-06-2009, 11:30

Ecco la discussione che cercavo...però vi pongo una domanda diretta...sto pensando di comprare un mac mini per sostituire il vecchio e logoro desktop di casa...io ho già un macbook unibody 13"...e ho pensato al mac mini perchè mi sono trovato benissimo con Mac OS X...vorrei abrogare definitivamente windows...il mio dubbio adesso è relativo alla vulnerabilità navigando in rete...sul mac sin'ora non ho trattato dati sensibili e ho sempre usato il pc windows dove ho l'internet security di kaspersky...quindi ho il dubbio se sarebbe rischioso eseguire le stesse operazioni online con mac os x...
Grazie a tutti per le vostre risposte... :-)

Mailor · 23-06-2009, 13:52

Quote:

Originariamente inviato da Rich01

Ecco la discussione che cercavo...però vi pongo una domanda diretta...sto pensando di comprare un mac mini per sostituire il vecchio e logoro desktop di casa...io ho già un macbook unibody 13"...e ho pensato al mac mini perchè mi sono trovato benissimo con Mac OS X...vorrei abrogare definitivamente windows...il mio dubbio adesso è relativo alla vulnerabilità navigando in rete...sul mac sin'ora non ho trattato dati sensibili e ho sempre usato il pc windows dove ho l'internet security di kaspersky...quindi ho il dubbio se sarebbe rischioso eseguire le stesse operazioni online con mac os x...
Grazie a tutti per le vostre risposte... :-)

ciao.

allora, sinteticamente: per il trattamento di dati sensibili, l'argomento ha due aspetti.

1) riguarda i dati in locale, ad esempio dati di accesso, file di lavoro, etc
2) riguarda la trasmissione degli stessi per, ad esempio, acquisti online

per il primo punto, il problema esiste. Apple NON è particolarmente attenta alla sicurezza, sebbene dica di esserlo. Il sistema è pieno di vulnerabilità facilmente exploitabili a causa di due punti:

si basa su molta architettura open source, in cui i problemi vengono risolti in fretta. Non mettendo però a disposizione un framework diretto all'utente per l'aggiornamento (es: di apache o di sshd), ci si deve affidare unicamente alle releases di apple. Il sw rilasciato è stabile e relativamente sicuro, ma è spesso outdated, il che implica chiari problemi di sicurezza
i livelli di gestione della sicurezza in OSX sono abbastanza penosi, a partire da un ASLR malgestito, facilmente prevedibile e che evita l'esecuzione solo a livello di stack (se non erro) ma non di heap (o viceversa) -- puntualizzo che aslr e stack execution non c'entrano niente, ma lasciamo perdere i dettagli

a questo proposito, i rischi in cui incorri è che qualcuno, da remoto, possa accedere al tuo computer e farci quel che vuole. In ambito domestico questo è almeno improbabile (soprattutto se hai fastweb o sei dietro a una rete aziendale), ed in realtà il rischio di data leakage è minimo. Se si vuol essere sicuri, basta crittare ciò che si ritiene più importante (es: i miei dati bancari sono crittati aes-256, possono pure prenderli ma non sanno che farsene).

Lato software, il numero di trojan e virus in circolazione è talmente basso da risultare inconsistente, quindi per ora non c'è da preoccuparsi.

Per il secondo punto, invece, il S.O. non c'entra (quasi) nulla. La sicurezza dei dati trasmessi è quasi totalmente implementata nel protocollo di trasmissione, che è una questione che esula dal tipo di sistema operativo che si sta utilizzando.

Rich01 · 23-06-2009, 14:33

Grazie Mailor per la tua risposta...quindi se ho capito bene per la sicurezza dei file stessi residenti sul pc basterebbe crittarli con appositi programmi e quindi anche se dovessero essere trafugati non se ne farebbero un gran che...invece per operazioni online come acquisti o internet banking la sicurezza esula dal sistema operativo ed è affidata ai gestori del servizio...
Credo di aver interpretato bene il tuo pensiero...se ho sbagliato ti prego di correggermi...
Grazie ancora per la tua risposta... :-)

factanonverba · 23-06-2009, 14:34

Colpa di Sun!

21-05-2009, 10:24	#1
Mailor Senior Member Iscritto dal: Mar 2007 Messaggi: 1459	Apple e una politica di vulnerability assestment discutibile http://blogs.zdnet.com/security/?p=3433 Al solito, la sicurezza in casa Apple è gestita malamente. \discuss \thread \noflame __________________ root#> man life No manual entry for life root#>_

21-05-2009, 20:41	#2
Gennarino Senior Member Iscritto dal: Jul 2000 Città: Belgio Messaggi: 831	Non e' colpa di Apple, ma di Sun. La vulnerabilita' e' di Java Runtime Environment 6, tutte le updates inclusa la 13. La CVE e' del 2008, vecchia di 6 mesi, ma ripeto e' di Sun Java, non di Apple e cosi come e' affetto Mac OSX, sono altrettanto affetti gli altri sistemi operativi che utilizzano JRE. Guarda il sito in firma per dettagli. __________________ Member of HWUpgrade's Forum since JUL 2000 - Matricola: #4534 - #67 - Puffo Aviatore Se godeste questo alberino, vi assicurate abboni alla mia alimentazione RSS! GODA! Quando fai le cose per bene, nessuno sospettera' mai che tu abbia fatto realmente qualcosa.

21-05-2009, 21:50	#3
Mailor Senior Member Iscritto dal: Mar 2007 Messaggi: 1459	la vulnerabilità è patchata da sun da mesi http://cve.mitre.org/cgi-bin/cvename...=CVE-2008-5353 __________________ root#> man life No manual entry for life root#>_

22-05-2009, 00:30	#4
Gennarino Senior Member Iscritto dal: Jul 2000 Città: Belgio Messaggi: 831	Mailor non voglio contraddirti, ne cominciare una partita a ping-pong http://secunia.com/advisories/35118/ http://www.securityfocus.com/bid/32608/info http://www.securityfocus.com/bid/32608/references Per i primi due, oltre al contenuto, guarda anche le date di inserimento/aggiornamento del bollettino, mentre per l'ultimo guarda quante reference ci sono. Resto comunque dell'idea che e' Sun che deve fornire il JRE patchato e non Apple. Spetta al produttore l'onere di fix, non al distributore. __________________ Member of HWUpgrade's Forum since JUL 2000 - Matricola: #4534 - #67 - Puffo Aviatore Se godeste questo alberino, vi assicurate abboni alla mia alimentazione RSS! GODA! Quando fai le cose per bene, nessuno sospettera' mai che tu abbia fatto realmente qualcosa.

22-05-2009, 13:38	#5
Mailor Senior Member Iscritto dal: Mar 2007 Messaggi: 1459	mh no temo tu non colga. http://secunia.com/advisories/35118/ questo è riferito alla vulnerabilità presente in OsX NON risolta. http://cve.mitre.org/cgi-bin/cvename...=CVE-2008-5353 questo è riferito alla vulnerabilità riconosciuta e PATCHATA da sun in gennaio. apple non ha ancora inserito la patch nella sua release di java vm. se qualcosa sfugge a me.. ma nei link che mi hai postato ci sono le referenze alla vendor patch rilasciata da sun. http://secunia.com/advisories/32991/ notare l'update al 12 dicembre http://secunia.com/advisories/search...=CVE-2008-5353 __________________ root#> man life No manual entry for life root#>_

22-05-2009, 15:40	#6
Gennarino Senior Member Iscritto dal: Jul 2000 Città: Belgio Messaggi: 831	ecciairaggione ! ho mischiato le due cose... coincidenza ha voluto che tu mettessi in evidenza un problema "vecchio" in concomitanza con un problema "nuovo" mea culpa __________________ Member of HWUpgrade's Forum since JUL 2000 - Matricola: #4534 - #67 - Puffo Aviatore Se godeste questo alberino, vi assicurate abboni alla mia alimentazione RSS! GODA! Quando fai le cose per bene, nessuno sospettera' mai che tu abbia fatto realmente qualcosa.

22-05-2009, 19:49	#7
sirus Senior Member Iscritto dal: Mar 2004 Messaggi: 16053	Inoltre, non è Sun che si occupa di rilasciare la piattaforma Java per Mac OS X ma è Apple stessa a farlo (non so per quali ragioni). Quindi, se si scoprono delle vulnerabilità, è Apple che deve provvedere. Tornando in topic, sono d'accordo con Mailor. Apple alle volte è piuttosto "allegra" dal punto di vista della sicurezza.

26-05-2009, 16:30	#10
Gennarino Senior Member Iscritto dal: Jul 2000 Città: Belgio Messaggi: 831	Guardate qui: http://www.illegalaccess.org/ Come diceva il tipo che voleva appioparmi un aspirapolvere Folletto e se ne e' andato di casa con 2 denti in meno: "problema ? --> Soluzione!" (indicando prima il mio letto e poi l'aspirapolvere) __________________ Member of HWUpgrade's Forum since JUL 2000 - Matricola: #4534 - #67 - Puffo Aviatore Se godeste questo alberino, vi assicurate abboni alla mia alimentazione RSS! GODA! Quando fai le cose per bene, nessuno sospettera' mai che tu abbia fatto realmente qualcosa.

16-06-2009, 07:26	#12
patanfrana Senior Member Iscritto dal: Feb 2003 Messaggi: 14879	Vulnerabilità finalmente fixata: link __________________ MacStudio M1 Max iPhone 17 Pro Max 512GB iPad Pro M1 12,9" 5G 256GB Synology DS918+ 4x20TB Seagate Exos X20 LG OLED 77G5

22-06-2009, 21:34	#16
manowar84 Senior Member Iscritto dal: Feb 2005 Città: Roma Messaggi: 4418	Ovvio che è un bene!! cmq effettivamente non sono 6 mesi da quaando è stata segnalata o come dici te "denunciata"... sono 6 mesi da quando è stata corretta, è peggio in effetti è stata patchata da sun a gennaio

23-06-2009, 11:30	#17
Rich01 Junior Member Iscritto dal: Jan 2008 Messaggi: 12	dubbio di vulnerabilità Ecco la discussione che cercavo...però vi pongo una domanda diretta...sto pensando di comprare un mac mini per sostituire il vecchio e logoro desktop di casa...io ho già un macbook unibody 13"...e ho pensato al mac mini perchè mi sono trovato benissimo con Mac OS X...vorrei abrogare definitivamente windows...il mio dubbio adesso è relativo alla vulnerabilità navigando in rete...sul mac sin'ora non ho trattato dati sensibili e ho sempre usato il pc windows dove ho l'internet security di kaspersky...quindi ho il dubbio se sarebbe rischioso eseguire le stesse operazioni online con mac os x... Grazie a tutti per le vostre risposte... :-)

23-06-2009, 14:33	#19
Rich01 Junior Member Iscritto dal: Jan 2008 Messaggi: 12	Grazie Mailor per la tua risposta...quindi se ho capito bene per la sicurezza dei file stessi residenti sul pc basterebbe crittarli con appositi programmi e quindi anche se dovessero essere trafugati non se ne farebbero un gran che...invece per operazioni online come acquisti o internet banking la sicurezza esula dal sistema operativo ed è affidata ai gestori del servizio... Credo di aver interpretato bene il tuo pensiero...se ho sbagliato ti prego di correggermi... Grazie ancora per la tua risposta... :-)

23-06-2009, 14:34	#20
factanonverba Bannato Iscritto dal: Jun 2009 Messaggi: 90	Colpa di Sun!

Strumenti
Mostra una versione stampabile Invia questa pagina per email