Apple fixt aktiv ausgenutzten Exploit in macOS+iPadOS und iOS

Martin Kraken

Martin Kraken

Anfänger
Nur mal als Beispiel, um klar zu machen, auch Macs brauchen Updates und sind nicht unverwundbar und alte Systeme ohne Updates sind ein Sicherheitsrisiko.

www.heise.de

Apple fixt aktiv ausgenutzten Exploit in macOS, iPadOS und iOS

Eine WebKit-Lücke wird laut Apple aktiv ausgenutzt. macOS 13.2.1, iOS 16.3.1 und iPadOS 16.3.1 beheben sie. Für ältere Versionen gibt's Safari-Updates.
www.heise.de www.heise.de

Weitere Exploids in IOS. Meines Wissens sehr aktiv ausgenutzt, im IRC brennt jedenfalls die Hütte mit Bildern vin übernommenen iOS Geräten. Wer auf einer älteren Version ist, ist offen wie ein Scheunentor ;-)

www.heise.de

iPhones still infiziert: Pegasus-Spyware war auch gegen iOS 16 erfolgreich

Die Überwachungs-Software kam einer Analyse zufolge über Systemdienste wie HomeKit und iMessage auf iPhones. Apples Lockdown-Modus kann aber schützen.
www.heise.de www.heise.de
 
Naja, und oft (oder meistens) sind ältere Geräte/Programmversionen einfach nicht betroffen, weil sie zB noch garnicht die im Exploit ausgenutzte Library verwenden.
 
Martin Kraken schrieb:
Nur mal als Beispiel, um klar zu machen, auch Macs brauchen Updates und sind nicht unverwundbar und alte Systeme ohne Updates sind ein Sicherheitsrisiko.
Zum Vergrößern anklicken....

ich sage an der stelle in solchen diskussionen dann immer gerne:

"nein, die äteren versionen sind die sicheren, das ganz neue ist immer das sicherheitsrisiko."

das ist nämlich die einzig logische schlussfolgerung daraus, dass das ganz neue permanent sicherheitsupdates braucht.
 
Zuletzt bearbeitet:
Nö, die alten sind offen wie ein Scheunentor, es schreibt nur keiner mehr darüber, weil es ja klar sein sollte. Ist wie mit Win7, wer jetzt noch mit Win7 unterwegs ist, ist quasi schon gehackt, wenn er den Browser öffnet ;-)
 
Martin Kraken schrieb:
Nö, die alten sind offen wie ein Scheunentor, es schreibt nur keiner mehr darüber, weil es ja klar sein sollte.
Zum Vergrößern anklicken....

deinen 1+ abschluss im rhetorikseminar in allen ehren, aber es gibt da ja noch eine alternative theorie, wonach deswegen niemand mehr darüber schreibt, weil es da nichts zu schreiben gibt.

10.4 oder 10.13 sind statistisch viel "sicherer" wie das 13.2.1 noch bis vorgestern war, das und nichts anderes bedeutet diese nachrichtenlage. (die einzige ausnahme von der regel bleibt das berühmte 10.6)

diese statistische "sicherheit" ist es aber, die dir den spielvorteil bringt, und nicht die frage ob irgendwas noch "supported" oder "gefixt" wird.

(und wer windows benutzt, der braucht ja nicht mal überhaupt online gehen und hat schon ab werk nur probleme auf der festplatte. kann aber auch sein, dass ich da biased bin, denn ich bin für windowspflege einfach zu doof und zu faul und habe deswegen noch mehr probleme damit als andere.)
 
Natürlich hat @Martin Kraken völlig recht...
Jedes System hat Lücken - ob OSX, Win, oder Linux/Unix... Jedes!! Auch die aktuellen Versionen.
Und die steinalten Dinger, wie Win unter 7, OSX unter 12, iOS unter 15 zB. werden überhaupt nicht mehr genannt/erwähnt.
Und das es für OSX keine/kaum Malware hat, war schon vor 10 Jahren

Weil sie einfach out of support sind... Jeder der so ein System ans Inet hängt, ist selber Schuld, wenn er irgendwann plötzlich ein Popup kommt:
"Ihre Daten sind verschlüsselt. Bitte überweisen Sie 100 Bitcoins nach Nordkorea"...
Klar - steht jedem frei steinalte Systeme zu betreiben. Jeder wie er es möchte...🤷‍♀️


Aber @einseinsnull, @fanwander - völliger Blödsinn!
@einseinsnull - Man darf ja sarkastisch sein - wenn man Ahnung hat :selfhammer:Aber allein "alternative theorie"... Klingt eher nach "alternative Fakten"...
Bitte nicht solch gefährliches Halbwissen verbreiten.
 
Wer Windows NT4 benutzt hat auch keine Probleme mit USB relevanten Exploits.
auch kann ich mit dem dort verwendeten Internet-Explorer kaum gehackt werden, da sich kaum noch ne Website öffnen lässt.

weis jemand welche aktuellen Interfaces/DAWs NT4 kompatibel sind?
 
telefonhoerer schrieb:
Wer Windows NT4 benutzt hat auch keine Probleme mit USB relevanten Exploits.
auch kann ich mit dem dort verwendeten Internet-Explorer kaum gehackt werden, da sich kaum noch ne Website öffnen lässt.

weis jemand welche aktuellen Interfaces/DAWs NT4 kompatibel sind?
Zum Vergrößern anklicken....

Witziger Zufall, ich habe mal die NT4 Rechner des Uni Computerpools gehackt mit einem USB Exploid, da dann mein FTP-Server installiert und konnte bequem mit meinem Modem von Zuhause Sachen drauf schieben.
 
woher hatten Die nen USB-Stack für NT4???
unsere NT4 Clients konnten kein USB...allerdings hab ich mich auch nie darum gekümmert den Zustand zu verändern den eine native NT4 installation mit sich brachte
 
Bin mir ziemlich sicher das es NT4 war und ich hab da ja auch meine Zip-Laufwerke angeschlossen, musste die Daten ja irgendwie da wieder runter holen, natürlich immer Nachts. Ach, das war eine schöne Zeit, während die 20 Zip Disk sich befühlten habe ich in den Anfängen des Internets gestöbert, was für ein Abenteuer. Ich überlege immer, ob sich für die jüngere Generation Tiktok und KI ähnlich anfühlt, habe aber das Gefühl es wird immer schwieriger für solche Momente.
 
sequetron schrieb:
Aber ... @fanwander - völliger Blödsinn!
Zum Vergrößern anklicken....
Wenn Du einen Account bei bugs.webkit.org hast, kannst Du ja gerne im WebKit Bugzilla 251944 nachsehen, welche Funktion betroffen ist, und ob die in der betroffenen Form schon in einem 10.4er Safari verwendet wurde. Wenn ja, dann stimme ich Dir liebend gerne zu. Ansonsten würde ich an Deiner Stelle lieber leise und möglichst unbemerkt aus dem Raum gehen…
 
fanwander schrieb:
Wenn Du einen Account bei bugs.webkit.org hast, kannst Du ja gerne im WebKit Bugzilla 251944 nachsehen, welche Funktion betroffen ist, und ob die in der betroffenen Form schon in einem 10.4er Safari verwendet wurde. Wenn ja, dann stimme ich Dir liebend gerne zu. Ansonsten würde ich an Deiner Stelle lieber leise und möglichst unbemerkt aus dem Raum gehen…
Zum Vergrößern anklicken....

Und du bist dir sicher, dass die alten Safaris keine Exploids hatten? Kann ja sein, wäre nur sehr ungewöhnlich. Aus dem IRC weiß ich, dass alte MacOS Versionen inzwischen immer beliebter für Hacks werden, da man ja relativ gezielt die Reichen und Schönen trifft. Und seit der relativen Verschmelzung von iOS mit MacOS wird das noch um so interessanter, da iOS ja weit verbreitet ist. Ansonsten ist Windows natürlich noch immer deutlich spannender für Hacks, da quasi alle Firmen mit Windows arbeiten und man normalerweise aus einem Hartz4-Empfänger-Windows-User nicht viel Geld rauspressen kann.
 
Offengestanden ist "Geld rauspressen" beim Endverbraucher komplett uninteressant. Es geht "Hackern" darum auf solchen Clientrechnern Programme im Hintergrund laufen zu lassen, die wiederum andere böse Dinge tun.

Z.B mein Rechner bei ionos mit meiner Webseite hat etwa minütlich Login-Versuche per SSH und Web-Aufrufe üblicher PHP-Anfälligkeiten. Mein Tool sperrt die entsprechende IPs dann für ne gewisse Zeit . Etwa 70% der Versuche stammen von üblichen Großprovidern (internationale äquivalente zu 1&1 oder T-Online hier). Das sind keine Hacker die da einen Account haben, sondern das sind "Hartz4-Empfänger-Windows-User" die nicht auf ihren Rechner aufpassen, und bei denen dann die Tools laufen.
 
fanwander schrieb:
Offengestanden ist "Geld rauspressen" beim Endverbraucher komplett uninteressant. Es geht "Hackern" darum auf solchen Clientrechnern Programme im Hintergrund laufen zu lassen, die wiederum andere böse Dinge tun.

Z.B mein Rechner bei ionos mit meiner Webseite hat etwa minütlich Login-Versuche per SSH und Web-Aufrufe üblicher PHP-Anfälligkeiten. Mein Tool sperrt die entsprechende IPs dann für ne gewisse Zeit . Etwa 70% der Versuche stammen von üblichen Großprovidern (internationale äquivalente zu 1&1 oder T-Online hier). Das sind keine Hacker die da einen Account haben, sondern das sind "Hartz4-Empfänger-Windows-User" die nicht auf ihren Rechner aufpassen, und bei denen dann die Tools laufen.
Zum Vergrößern anklicken....

Ja, das stimmt natürlich auch wieder. Für Bot-Nets ist das natürlich interessant.
 
sequetron schrieb:
darf ja sarkastisch sein - wenn man Ahnung hat :selfhammer:Aber allein "alternative theorie"... Klingt eher nach "alternative Fakten"...
Bitte nicht solch gefährliches Halbwissen verbreiten.
Zum Vergrößern anklicken....

du gehst also davon aus, dass deine eigenen vermutungen die wahrheit sind und die ergebnisse wissenschaftlicher untersuchungen über die schadensursachen in unternehmen dann demzufolge gefährliches halbwissen?

du bist das zentrum, auf das sich alles andere bezieht, und das da draußen ist dann das alternative dazu, was falsch ist? nun, dann lag ich ja genau richtig mit der bemerkung. :)


für meinen 20 jahre alten mac gibt es genau 7 schadsoftware varianten und die neueste davon ist 19 jahre alt. für windows 11 sind alleine gestern 400,000 neue dazugekommen, und vorgestern auch. und morgen kommen wieder 400,000 neue raus.

und wäre das aktuelle betriebssystem von heute so super sicher, dann bräuchte es nicht schon morgen wieder ein superwichtiges sicherheitsupdate und der anteil an infizierten rechner würde nicht permanent steigen, sondern er würde sinken.

mit jedem sicherheitsupdate, was der benutzer installiert, fixt er heute die 5 sicherheitslücken von gestern und installiert sich damit dann aber die 6 sicherheitslücken, die in den nächsten 3 monaten auf ihn warten.

du bist also nur dazu gezwungen update nummer 15 zu installieren, weil du zuvor den fehler gemacht hast update nummer 12 zu installieren.


1682854627167.png


aber dann mit timemachine vermeintliche "backups" machen, keine gewerbehaftpflichtversicherung haben und 12345 als passwort benutzen. :)

noch schlimmer und schädlicher als softwareprobleme in unternehmen sind nämlich die managementfehler, die liegen bei den schadensursachen auf platz 1.
 
Zuletzt bearbeitet:
einseinsnull schrieb:
du gehst also davon aus, dass deine eigenen vermutungen die wahrheit sind und die ergebnisse wissenschaftlicher untersuchungen über die schadensursachen in unternehmen dann demzufolge gefährliches halbwissen?

du bist das zentrum, auf das sich alles andere bezieht, und das da draußen ist dann das alternative dazu, was falsch ist? nun, dann lag ich ja genau richtig mit der bemerkung. :)


für meinen 20 jahre alten mac gibt es genau 7 schadsoftware varianten und die neueste davon ist 19 jahre alt. für windows 11 sind alleine gestern 400,000 neue dazugekommen, und vorgestern auch. und morgen kommen wieder 400,000 neue raus.

und wäre das aktuelle betriebssystem von heute so super sicher, dann bräuchte es nicht schon morgen wieder ein superwichtiges sicherheitsupdate und der anteil an infizierten rechner würde nicht permanent steigen, sondern er würde sinken.

mit jedem sicherheitsupdate, was der benutzer installiert, fixt er heute die 5 sicherheitslücken von gestern und installiert sich damit dann aber die 6 sicherheitslücken, die in den nächsten 3 monaten auf ihn warten.

du bist also nur dazu gezwungen update nummer 15 zu installieren, weil du zuvor den fehler gemacht hast update nummer 12 zu installieren.


Anhang anzeigen 174675


aber dann mit timemachine vermeintliche "backups" machen, keine gewerbehaftpflichtversicherung haben und 12345 als passwort benutzen. :)

noch schlimmer und schädlicher als softwareprobleme in unternehmen sind nämlich die managementfehler, die liegen bei den schadensursachen auf platz 1.
Zum Vergrößern anklicken....

Es ist immer eine Frage der Zeit bis und wie stark Sicherheitslücken aktiv ausgenutzt werden. Zum Beispiel kann inzwischen jedes Script-Kiddie Win7 unter Kontrolle bringen, Win10 aber nicht, obwohl bestimmt genauso viele Exploids bestehen. Natürlich ist man irgendwann mit einem Uraltsystem sicher, weil es sich einfach nicht mehr lohnt Angriffe darauf zu fahren, weil es keiner mehr benutzt. Mit AmigaOS surfen dürfte ziemlich sicher sein.
 
Martin Kraken schrieb:
Es ist immer eine Frage der Zeit bis und wie stark Sicherheitslücken aktiv ausgenutzt werden.
Zum Vergrößern anklicken....

das ist schon klar, dass es sinnvoll ist ein solches update zu installieren wie das über was du hier berichtest - jedenfalls im vergleich dazu, es nicht zu tun und das zweitaktuellste zu benutzen, obwohl man im sicheren wissen um eine aktuell häufig ausgenutzen kritischen lücke ist.

leute wie sequentron aber gehen davon aus, dass die existenz dieses updates bedeutet, dass ihr rechner jetzt endgültig supersicher ist, weil sie schon wieder vergessen haben, dass man das über das von ihnen bis gestern benutzte einstmals auch gesagt hat.

wenn die statistische wahrscheinlichkeit, dass ein rechner sich schadsoftware einfängt jährlich steigt, dann ist die lösung dafür eben genau nicht so weiterzumachen wie bisher, weil das ja die heutige situation verursacht hat.

genauso wenig wie eben auch der staat oder diese so genannte antivirus-software schon lange nicht mehr teil einer lösung sind, sondern ein teil des problems.

die gefährlichsten sicherheitslücken sind die sozialen. und bei den technischen sind es die, die man noch nicht erkannt hat. auf der DEF CON hat man das nach dem abhörskandal erkannt und den staat wieder ausgeladen.
bei computer bild abonnenten und im deutschen mittelstand hingegen glaubt man weiterhin nur, was man glauben möchte.

milliardenschäden in folge der existenz des T2 "sicherheitschips" und der damit verbundenen verfahrensweisen sind nur noch eine frage der zeit.
 
einseinsnull schrieb:
das ist schon klar, dass es sinnvoll ist ein solches update zu installieren wie das über was du hier berichtest - jedenfalls im vergleich dazu, es nicht zu tun und das zweitaktuellste zu benutzen, obwohl man im sicheren wissen um eine aktuell häufig ausgenutzen kritischen lücke ist.

leute wie sequentron aber gehen davon aus, dass die existenz dieses updates bedeutet, dass ihr rechner jetzt endgültig supersicher ist, weil sie schon wieder vergessen haben, dass man das über das von ihnen bis gestern benutzte einstmals auch gesagt hat.

wenn die statistische wahrscheinlichkeit, dass ein rechner sich schadsoftware einfängt jährlich steigt, dann ist die lösung dafür eben genau nicht so weiterzumachen wie bisher, weil das ja die heutige situation verursacht hat.

genauso wenig wie eben auch der staat oder diese so genannte antivirus-software schon lange nicht mehr teil einer lösung sind, sondern ein teil des problems.

die gefährlichsten sicherheitslücken sind die sozialen. und bei den technischen sind es die, die man noch nicht erkannt hat. auf der DEF CON hat man das nach dem abhörskandal erkannt und den staat wieder ausgeladen.
bei computer bild abonnenten und im deutschen mittelstand hingegen glaubt man weiterhin nur, was man glauben möchte.

milliardenschäden in folge der existenz des T2 "sicherheitschips" und der damit verbundenen verfahrensweisen sind nur noch eine frage der zeit.
Zum Vergrößern anklicken....

Also kein Fortschritt mehr. Ein gehärtetes Betriebssystem bis in alle Ewigkeit ;-)
 
Martin Kraken schrieb:
Zum Beispiel kann inzwischen jedes Script-Kiddie Win7 unter Kontrolle bringen, Win10 aber nicht, obwohl bestimmt genauso viele Exploids bestehen.
Zum Vergrößern anklicken....
Ich frage mich woher du deine pauschalisierten Weisheiten nimmst... Ich kann dir gerne mal ein Win7 ins Netz stellen, bin gespannt wann du die "Kontrolle" darüber hast...
Auch ein Windows7 kann man heute noch relativ sicher machen, so dass es von außen nicht wirklich angreifbar ist. Das größte Sicherheitsrisiko sitzt meistens vor dem Rechner...

...und es heißt exploit nicht exploid!
 
recliq schrieb:
Ich frage mich woher du deine pauschalisierten Weisheiten nimmst... Ich kann dir gerne mal ein Win7 ins Netz stellen, bin gespannt wann du die "Kontrolle" darüber hast...
Auch ein Windows7 kann man heute noch relativ sicher machen, so dass es von außen nicht wirklich angreifbar ist. Das größte Sicherheitsrisiko sitzt meistens vor dem Rechner...

...und es heißt exploit nicht exploid!
Zum Vergrößern anklicken....

Natürlich kann man auch ein Win 7 sicher machen, aber darum geht es nicht. Man kann ja auch noch erweiterten Support kaufen, deshalb sieht es noch nicht ganz so düster aus. Soweit ich aber mitbekomme ist Win 7 schon ziemlich anfällig und es sind einige Scripts im Umlauf, gegen die ein „normaler“ User gar nix machen kann. Ich war vor 20 Jahren Mitglied einer der größten Cracker/Hacker-Gruppen der Welt, habe mich aber irgendwann in die Science-Welt verabschiedet und bekomme nur noch über ein paar „Stammtische“ im IRC mit, wie gerade die Lage ist. Hier gibt es sicherlich bessere IT-Profis als mich und wenn du einer bist und meinst Win 7 ist super sicher, dann kann ich dem nicht widersprechen, denn ich bin kein IT-Experte. Vielleicht gibt es auch eine super sichere alte MacOS Version. Ich würde mich jetzt persönlich nicht darauf verlassen, aber es kann natürlich sein.

fanwander schrieb:
HP-UX Version 9.0 gibt es sein 1992. Und es wird immer noch supportet.
Zum Vergrößern anklicken....

Bin mir sicher, dass da immer noch genug Schwachstellen drin sind, interessiert halt nur keinen ;-)
 
fanwander schrieb:
HP-UX Version 9.0 gibt es sein 1992. Und es wird immer noch supportet.
Zum Vergrößern anklicken....
die passende Hardware musste aber erst mal finden, und auf der läuft dann wenigstens noch ein aktuelles Linux :cool:

aber welche Audiointerface Hersteller unterstützen eigentlich HP UX, oder Irix ...von RME würd ich das schon erwarten
 
Martin Kraken schrieb:
und wenn du einer bist und meinst Win 7 ist super sicher, dann kann ich dem nicht widersprechen
Zum Vergrößern anklicken....
Das habe ich mitnichten behauptet, ich würde sogar soweit gehen zu behaupten "super sicher" gibt es nicht von der Stange und ohne großen Aufwand, "absolut sicher" gibt es gar nicht, egal welches OS und wie alt.
 
also
FTP, Exchange und ActiveDirectory in flacher Netzwerksastruktur

gibts sogar als FEADflat+ , mit intgrierter smb1 Funktionalität
 
Martin Kraken schrieb:
Also kein Fortschritt mehr. Ein gehärtetes Betriebssystem bis in alle Ewigkeit ;-)
Zum Vergrößern anklicken....

stillstand ist natürlich auch keine lösung. es ist eben immer falsch, egal was man tut. :sad:

für die sicherheit wäre es aber optimal. netBSD läuft und läuft und läuft... aber das kommt natürlich ohne kinkerlitzchen.

jedenfalls... fortschritt... besteht nicht nur aus schnelleren prozessoren. wozu sich leute, die 8 spuren gitarre aufnehmen und einen summenkompressor drüberlegen sich ständig einen neuen rechner kaufen ist mir eh ein rätsel. das geht mit rechnern von 1995 ganz prima. oder ganz ohne.

apple bringt es ja nicht mal fertig, third party entwicklern mal einen hinweis darauf zu geben, wenn sie was gravierendes plötzlich ändern. das wäre mal fortschritt.

oder wie wäre mal eine technologie um die verbreiter von schadsoftware dingfest zu machen? wird doch sonst auch jeder scheiß überwacht und mitgeschnitten. nur die kriminellen genießen narrenfreiheit.

ich sehe keinen fortschritt darin, dass hardware so gebaut wird, dass man sie wegwerfen muss, wenn man das passwort vergessen hat, und erpresserbanden erst viren verbreiten um dann antivirusprogramme verkaufen zu können, die dann selbst wieder probleme mit sich bringen, die man dann wieder mit dem nächsten rettungstool... you get the idea.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

S
MacOS: Updates lassen sich nicht länger "ignorieren"
Antworten
27
Aufrufe
4K
telefonhoerer
telefonhoerer


Neueste Beiträge

News


Zurück
Oben