Aj aj aj Apple-användare

legis · 2008-05-22, 10:05

Baserat på NVD's bedömning ser första kvartalet ut såhär:

http://www.ownz.se/wp-content/upload...clientvuln.jpg

überfuzz · 2008-05-22, 10:27

Windowsanvändare ser ju inte heller ut att kunna luta sig tillbaka.

legis · 2008-05-22, 11:02

Det är det ingen som påstått och den som tror att det någonsin kommer att bli så får tänka om fort. En tiondel så många talar ändå ett tydligt språk, som även en person med din signatur borde ta till sig.

Gein · 2008-05-22, 11:11

Det som är intressant är hur många missbruk av säkerhetshål det finns. Och andra faktorer såsom säkerhetshål i applikationer som inte tillhör OS:et, typ webbläsare som används väldigt frekvent.

legis · 2008-05-22, 11:13

Helt rätt Gein, inte minst eftersom det då handlar om situationer där användarna oftast inte har en aning om att det ens finns säkerhetshål eftersom sådana applikationer saknar funktioner för att automatiskt kolla och applicera uppdateringar.

Danne V · 2008-05-22, 11:27

Citat:

legis skrev:

Baserat på NVD's bedömning ser första kvartalet ut såhär:

http://www.ownz.se/wp-content/upload...clientvuln.jpg

Kan ju förstås ha ruskigt fel, och visst är Mac OS X till viss del sårbart. Men att Mac OS skulle vara 8-10 ggr mer sårbart än Windows tror jag bara inte på.

Jag undrar istället hur dom gjort den där mätningen, vad den egentligen visar och hur dom definerar termen "vulnerability".

Gein · 2008-05-22, 11:30

Jag kan inte hitta det diagram (eller källan bakom det, i efterhand, genererade diagrammet) som visas på ownz.se på NVD, vart gör jag det?

legis · 2008-05-22, 11:30

Den är baserad på respektive eget företags rapportering av fixade säkerhetshål.

Lasp · 2008-05-22, 11:31

Eftersom jag precis har köpt en MacBookPro så blev jag intresserad.
Men sanningen att säga, förstår jag inte diagrammet, och legis får väl påökt nu!

Gein · 2008-05-22, 11:32

Citat:

legis skrev:

Den är baserad på respektive eget företags rapportering av fixade säkerhetshål.

Okej, så det skulle i princip kunna betyda att Apple ligger på mer för att åtgärda säkerhetshål? Alternativt att de är bättre på att hitta dem?
Då känns ju diagrammet än mer ointressant och återigen är det ju antalet utnyttjade säkerhetsbrister som istället borde skyltas med.

red/ Vet man för övrigt att företagen tolkar säkerhetshål på samma sätt? Det som Apple anser kvalificera som ett säkerhetshål kanske inte Microsoft gör?

Danne V · 2008-05-22, 11:52

Citat:

Gein skrev:

Okej, så det skulle i princip kunna betyda att Apple ligger på mer för att åtgärda säkerhetshål? Alternativt att de är bättre på att hitta dem?
Då känns ju diagrammet än mer ointressant och återigen är det ju antalet utnyttjade säkerhetsbrister som istället borde skyltas med.

red/ Vet man för övrigt att företagen tolkar säkerhetshål på samma sätt? Det som Apple anser kvalificera som ett säkerhetshål kanske inte Microsoft gör?

Det var bl.a. vad jag menade med mitt inlägg tidigare. Ungefär som när Kim Jong-il menar att Nordkorea minsann respekterar mänskliga rättigheter. Han menar verkligen vad han säger, bara att han definerar termen lite annorlunda....

legis · 2008-05-22, 12:27

Alla företag har opatchade sårbarheter. Antalet patchningar har över åren dock varit påvisande för den totala mängden säkerhetshål. Gå tillbaka 5-6 år och denna bilden var helt omvänd. Apple lägger helt klart ner mer tid idag än tidigare på att patcha men det är också för att OSX är en mer intressant attackvektor idag med tanke på att Windows numera (faktiskt) är avsevärt bättre på säkerhetsområdet.

Att skylta öppet med opatchade säkerhetshål är inget något av dessa företag gör och jag kan lova att alla har en hel drös med sådana liggandes

Siffrorna är intressanta, framförallt om man är medveten om tidigare trender. Argumentet om att man inte listar även alla icke-publika och opatchade sårbarheter faller ganska tydligt när det är en sådan enorm skillnad. Hade Microsoft struntat i att patcha säkerhetshål till en sådan grad att Windows skulle ligga på samma nivå som OSX i ovan diagram, så skulle det ha hörts...högt!

Okkido · 2008-05-22, 14:42

legis; är Mac OS X Leopard ett dåligt operativsystem och Windows Vista bättre?

legis · 2008-05-22, 14:51

Citat:

Okkido skrev:

legis; är Mac OS X Leopard ett dåligt operativsystem och Windows Vista bättre?

Nej det tror jag inte. Båda fyller säkert sitt syfte mer än väl. Jag vill bara påvisa trenden och att de flesta jag snackar med som kör OSX inte har en tanke på säkerhet och vissa hävdar till och med att det inte finns några säkerhetshål.

Och dessutom är det faktiskt ganska skönt att vara på "rätt" sida av sådana diagram efter att ha arbetet i motvind i många år

Lasp · 2008-05-22, 15:11

Det är väl problem med alla operativssystem, mest kanske på grund av användare som inte uppdaterar direkt.
Men under mina år av datoranvändande tycker jag mig se att så fort ett OS har publicerat patchar så finns det folk som nappar på det beskrivna och hoppas att folk inte uppdaterar.
Jag är nog själv dålig på detta.
Hörde en siffra om att Apple nu har en marknadsandel på över 60% av maskiner som kostar över $1000!
Är det någon som kan verifiera.
Då borde attacker mot OS X bli mer intressant för dessa knepiga individer.

Gein · 2008-05-22, 21:23

Citat:

legis skrev:

Nej det tror jag inte. Båda fyller säkert sitt syfte mer än väl. Jag vill bara påvisa trenden och att de flesta jag snackar med som kör OSX inte har en tanke på säkerhet och vissa hävdar till och med att det inte finns några säkerhetshål.

Och dessutom är det faktiskt ganska skönt att vara på "rätt" sida av sådana diagram efter att ha arbetet i motvind i många år

Men vadå rätt sida? Vi har ju konstaterat att diagrammet egentligen inte säger något alls. Vi har ju inte en aning om en låg stapel beror på att man undviker att lösa säkerhetshål, inte ser säkerhetshålen eller att man helt enkelt inte har några säkerhetshål. Än osäkrare blir det när det bygger på företagets egna rapporteringar. Om Apple nu plötsligt skulle ge blanka fan i att lösa några säkerhetsbrister så skulle plötsligt stapeln sjunka till 0 och då står du på fel sida igen?

Du skriver att bilden är intressant om man tar hänsyn till tidigare trender men det resonemanget håller ju bara om alla företagen jobbar exakt lika mycket (från år till år, inte nödvändigtvis företagen emellan) och lika ärligt med att rapporterera och laga säkertshål. Och det behöver ju inte vara sanningen.

legis · 2008-05-22, 21:43

Du har fel Gein. Tänk efter lite.

1. Att ett företag som tidigare visat på många hål, implementerat och stort annonserat att de tar säkerhet på allvar (trustworthy computing) och sedan visar att det inte behöver patchas lika ofta längre

2. Ett företag som i stort sett aldrig patchat något och helt plötsligt behöver patcha enormt mycket

Vari ligger det logiska i att det första företaget skulle skita i att patcha på nytt?

3. Man kan bara utgå från publika rapporteringar, hur ska man kunna ta hänsyn till sådant som inte rapporteras? Det är en omöjlighet.

4. Om ett företag struntar i att patcha idag så gräver de sin egen grav. Applicera lite logik är du snäll. Teoretiskt kan det givetvis vara så, men vem går tillbaka till ruta 0 när det kämpat stenhårt på att ta sig till ruta 10?

5. Du har fel i ditt sista påstående. Om alla företag skulle arbetat likadant skulle detta diagram inte vara det minsta intressant. Det diagrammet visar är just resultatet av ett långsiktigt förbättringsarbete hos något företag, medan ett annat däremot numera står inför en stor utmaning som kräver förändring i företagskulturen.

Till sist. Det finns opatchade hål hos samtliga företag, men att anta att något företag i dagens säkerhetsmedvetna bransch medvetet skulle strunta i att patcha för att det ska se bra ut i diagram är bara löjligt. Det håller inte i praktiken idag med en sådan attityd. Man kan argumentera statistik hur man vill, men ovan talar sitt tydliga språk för de som har haft hyffsad koll på branschen. Vill du inte acceptera siffrorna så är det helt ok, men att börja dra ihop historier om att företag blankar säkerhetshål för att antalet ska hållas nere är ganska löjligt. Det som däremot görs av bl.a. Apple är att man släpper bundlingar med beskrivning som "Fixing multiple issues" och sedan struntar man i att specificera vad.

colione · 2008-05-22, 21:56

Citat:

legis skrev:

Apple är att man släpper bundlingar med beskrivning som "Fixing multiple issues" och sedan struntar man i att specificera vad.

Fast precis det har ju Microsoft också gjort, men de glömde att nämna att den uppdateringen fixade mer än ett hål. Det uppdagades i flertalet bloggar för något år sen.

legis · 2008-05-22, 21:58

Citat:

colione skrev:

Fast precis det har ju Microsoft också gjort, men de glömde att nämna att den uppdateringen fixade mer än ett hål. Det uppdagades i flertalet bloggar för något år sen.

Microsofts interna policy är att varje sårbarhet/fix måste dokumenteras detaljerat. En uppdatering kan givetvis fixa flera hål, det kanske till och med fixas med samma modul, men skillnaden ligger i dokumentationen. Jag tror detta krav också kom som en del av trustworthy computing.

colione · 2008-05-22, 22:05

Nu ska vi inte spåra ut allt för mycket. Men problemet var ju att den inte var dokumenterad heller. Det var något som upptäcktes antingen genom reverse enginering eller liknande (kan ha handlat om checksummor). KAn du länka till ett exempel på en sådan uppdatering från apple förresten? Så vitt jag kommer ihåg så brukar de länka till en sida där du sedan kan klicka dig vidare för att pinpointa vad som ingår.

legis · 2008-05-22, 22:13

Jag kan inte minnas det du menar colione tyvärr så jag kan inte kommentera den specifika incidenten om det nu har hänt efter TWC.

Det finns några, bland annat i den megauppdateringen de släppte med nästan 90 säkerhetshål fixade i samma patch. Även Apple har dock blivit enormt mycket bättre på senare tid:

http://support.apple.com/kb/HT1249

Lasp · 2008-05-22, 22:19

Här finns en intressant blogg att läsa!
http://blogg.idg.se/free_thinking/entry.jsp?messid=3820

legis · 2008-05-22, 22:24

Citat:

Lasp skrev:

Här finns en intressant blogg att läsa!
http://blogg.idg.se/free_thinking/entry.jsp?messid=3820

Inte precis revolutionerande att folk installerar skadlig kod som de själva exekverar

colione · 2008-05-22, 22:25

legis. Vad är det för något uppenbart multiple update grej som jag missar? I de fall som det står multiple är det oftast tredjepartsprogramvara som kommer medbundlat (typ php eller apache). I det senare fallet då det är en generell säkerhetsuppdatering från tillverkaren är det inte Apples uppgift att dokumentera det. De lämnar dessutom ut CVE-referenser till de berörda buggarna där man sedan kan läsa sig vidare om man vill. Vad exakt är problemet med att säga att det är multiple issues som har fixats om man länkar till bugg-beskrivningar? Eller är det något annat jag har missat?

legis · 2008-05-22, 22:36

Tja det tycker du, men inte jag. Man ansvarar för det man skeppar enligt mig. Det där var bara det jag kom på direkt, det finns fler exempel från förra året. Du får gärna klicka dig igenom deras sidor om du vill

2008-05-22, 10:05	#1
legis Medlem Registrerad: 2004-07-21 Ort: Stockholm (Södermalm) Inlägg: 4 440 Lösningar: 139	Aj aj aj Apple-användare Baserat på NVD's bedömning ser första kvartalet ut såhär: http://www.ownz.se/wp-content/upload...clientvuln.jpg __________________ http://gråimport.se

2008-05-22, 10:27	#2
überfuzz Medlem Registrerad: 2006-04-17 Inlägg: 434 Lösningar: 2	Windowsanvändare ser ju inte heller ut att kunna luta sig tillbaka. __________________ Windows macht frei

2008-05-22, 11:02	#3
legis Medlem Registrerad: 2004-07-21 Ort: Stockholm (Södermalm) Inlägg: 4 440 Lösningar: 139	Det är det ingen som påstått och den som tror att det någonsin kommer att bli så får tänka om fort. En tiondel så många talar ändå ett tydligt språk, som även en person med din signatur borde ta till sig. __________________ http://gråimport.se

2008-05-22, 11:11	#4
Gein Medlem Registrerad: 2000-09-07 Ort: Uppsala Inlägg: 4 849 Lösningar: 69	Det som är intressant är hur många missbruk av säkerhetshål det finns. Och andra faktorer såsom säkerhetshål i applikationer som inte tillhör OS:et, typ webbläsare som används väldigt frekvent. __________________ The future is today, worry about it tomorrow

2008-05-22, 11:13	#5
legis Medlem Registrerad: 2004-07-21 Ort: Stockholm (Södermalm) Inlägg: 4 440 Lösningar: 139	Helt rätt Gein, inte minst eftersom det då handlar om situationer där användarna oftast inte har en aning om att det ens finns säkerhetshål eftersom sådana applikationer saknar funktioner för att automatiskt kolla och applicera uppdateringar. __________________ http://gråimport.se

2008-05-22, 11:30	#7
Gein Medlem Registrerad: 2000-09-07 Ort: Uppsala Inlägg: 4 849 Lösningar: 69	Jag kan inte hitta det diagram (eller källan bakom det, i efterhand, genererade diagrammet) som visas på ownz.se på NVD, vart gör jag det? __________________ The future is today, worry about it tomorrow

2008-05-22, 11:31	#9
Lasp Medlem Registrerad: 2000-07-29 Ort: Fredriksdal, Helsingborg Inlägg: 9 904 Lösningar: 144	Eftersom jag precis har köpt en MacBookPro så blev jag intresserad. Men sanningen att säga, förstår jag inte diagrammet, och legis får väl påökt nu! __________________ Livet är kort och Nu! Läs mera! !?

2008-05-22, 12:27	#12
legis Medlem Registrerad: 2004-07-21 Ort: Stockholm (Södermalm) Inlägg: 4 440 Lösningar: 139	Alla företag har opatchade sårbarheter. Antalet patchningar har över åren dock varit påvisande för den totala mängden säkerhetshål. Gå tillbaka 5-6 år och denna bilden var helt omvänd. Apple lägger helt klart ner mer tid idag än tidigare på att patcha men det är också för att OSX är en mer intressant attackvektor idag med tanke på att Windows numera (faktiskt) är avsevärt bättre på säkerhetsområdet. Att skylta öppet med opatchade säkerhetshål är inget något av dessa företag gör och jag kan lova att alla har en hel drös med sådana liggandes Siffrorna är intressanta, framförallt om man är medveten om tidigare trender. Argumentet om att man inte listar även alla icke-publika och opatchade sårbarheter faller ganska tydligt när det är en sådan enorm skillnad. Hade Microsoft struntat i att patcha säkerhetshål till en sådan grad att Windows skulle ligga på samma nivå som OSX i ovan diagram, så skulle det ha hörts...högt! __________________ http://gråimport.se

2008-05-22, 14:42	#13
Okkido Medlem Registrerad: 2000-05-12 Inlägg: 4 460 Lösningar: 76	legis; är Mac OS X Leopard ett dåligt operativsystem och Windows Vista bättre?

2008-05-22, 15:11	#15
Lasp Medlem Registrerad: 2000-07-29 Ort: Fredriksdal, Helsingborg Inlägg: 9 904 Lösningar: 144	Det är väl problem med alla operativssystem, mest kanske på grund av användare som inte uppdaterar direkt. Men under mina år av datoranvändande tycker jag mig se att så fort ett OS har publicerat patchar så finns det folk som nappar på det beskrivna och hoppas att folk inte uppdaterar. Jag är nog själv dålig på detta. Hörde en siffra om att Apple nu har en marknadsandel på över 60% av maskiner som kostar över $1000! Är det någon som kan verifiera. Då borde attacker mot OS X bli mer intressant för dessa knepiga individer. __________________ Livet är kort och Nu! Läs mera! !?

2008-05-22, 21:43	#17
legis Medlem Registrerad: 2004-07-21 Ort: Stockholm (Södermalm) Inlägg: 4 440 Lösningar: 139	Du har fel Gein. Tänk efter lite. 1. Att ett företag som tidigare visat på många hål, implementerat och stort annonserat att de tar säkerhet på allvar (trustworthy computing) och sedan visar att det inte behöver patchas lika ofta längre 2. Ett företag som i stort sett aldrig patchat något och helt plötsligt behöver patcha enormt mycket Vari ligger det logiska i att det första företaget skulle skita i att patcha på nytt? 3. Man kan bara utgå från publika rapporteringar, hur ska man kunna ta hänsyn till sådant som inte rapporteras? Det är en omöjlighet. 4. Om ett företag struntar i att patcha idag så gräver de sin egen grav. Applicera lite logik är du snäll. Teoretiskt kan det givetvis vara så, men vem går tillbaka till ruta 0 när det kämpat stenhårt på att ta sig till ruta 10? 5. Du har fel i ditt sista påstående. Om alla företag skulle arbetat likadant skulle detta diagram inte vara det minsta intressant. Det diagrammet visar är just resultatet av ett långsiktigt förbättringsarbete hos något företag, medan ett annat däremot numera står inför en stor utmaning som kräver förändring i företagskulturen. Till sist. Det finns opatchade hål hos samtliga företag, men att anta att något företag i dagens säkerhetsmedvetna bransch medvetet skulle strunta i att patcha för att det ska se bra ut i diagram är bara löjligt. Det håller inte i praktiken idag med en sådan attityd. Man kan argumentera statistik hur man vill, men ovan talar sitt tydliga språk för de som har haft hyffsad koll på branschen. Vill du inte acceptera siffrorna så är det helt ok, men att börja dra ihop historier om att företag blankar säkerhetshål för att antalet ska hållas nere är ganska löjligt. Det som däremot görs av bl.a. Apple är att man släpper bundlingar med beskrivning som "Fixing multiple issues" och sedan struntar man i att specificera vad. __________________ http://gråimport.se

2008-05-22, 22:05	#20
colione Forumtekniker Registrerad: 2001-06-13 Ort: Stockholm Inlägg: 3 385 Lösningar: 198	Nu ska vi inte spåra ut allt för mycket. Men problemet var ju att den inte var dokumenterad heller. Det var något som upptäcktes antingen genom reverse enginering eller liknande (kan ha handlat om checksummor). KAn du länka till ett exempel på en sådan uppdatering från apple förresten? Så vitt jag kommer ihåg så brukar de länka till en sida där du sedan kan klicka dig vidare för att pinpointa vad som ingår. __________________ Yes, I Blag!

2008-05-22, 22:13	#21
legis Medlem Registrerad: 2004-07-21 Ort: Stockholm (Södermalm) Inlägg: 4 440 Lösningar: 139	Jag kan inte minnas det du menar colione tyvärr så jag kan inte kommentera den specifika incidenten om det nu har hänt efter TWC. Det finns några, bland annat i den megauppdateringen de släppte med nästan 90 säkerhetshål fixade i samma patch. Även Apple har dock blivit enormt mycket bättre på senare tid: http://support.apple.com/kb/HT1249 __________________ http://gråimport.se

2008-05-22, 22:19	#22
Lasp Medlem Registrerad: 2000-07-29 Ort: Fredriksdal, Helsingborg Inlägg: 9 904 Lösningar: 144	Här finns en intressant blogg att läsa! http://blogg.idg.se/free_thinking/entry.jsp?messid=3820 __________________ Livet är kort och Nu! Läs mera! !?

2008-05-22, 22:25	#24
colione Forumtekniker Registrerad: 2001-06-13 Ort: Stockholm Inlägg: 3 385 Lösningar: 198	legis. Vad är det för något uppenbart multiple update grej som jag missar? I de fall som det står multiple är det oftast tredjepartsprogramvara som kommer medbundlat (typ php eller apache). I det senare fallet då det är en generell säkerhetsuppdatering från tillverkaren är det inte Apples uppgift att dokumentera det. De lämnar dessutom ut CVE-referenser till de berörda buggarna där man sedan kan läsa sig vidare om man vill. Vad exakt är problemet med att säga att det är multiple issues som har fixats om man länkar till bugg-beskrivningar? Eller är det något annat jag har missat? __________________ Yes, I Blag!

2008-05-22, 22:36	#25
legis Medlem Registrerad: 2004-07-21 Ort: Stockholm (Södermalm) Inlägg: 4 440 Lösningar: 139	Tja det tycker du, men inte jag. Man ansvarar för det man skeppar enligt mig. Det där var bara det jag kom på direkt, det finns fler exempel från förra året. Du får gärna klicka dig igenom deras sidor om du vill __________________ http://gråimport.se

Trådverktyg
Visa utskriftsvänlig version E-posta den här sidan
Visningsalternativ
Linjär visning Växla till hybrid-visning Växla till trådad visning