EN dårlig fejl blev fundet i iOS 7 og Mavericks i denne uge, så du ved, hvad det betyder: Det er tid til at udsende Apple-klagerne, uanset om de er direkte relateret til dette eller overhovedet giver mening.
Den syrligste af druer
Macalope er ikke her for at argumentere for, at Apple ikke sled kongeligt eller ikke burde have fået en patch ud så hurtigt som muligt. Hvis du leder efter hans hovstempel-godkendte kritik, så læs dette stykke af John Gruber om de spørgsmål, denne fejl rejser, og denne af Ashkan Soltani.
Hvad han er Her for at tage undtagelsen er det store hastværk med at bruge denne hændelse som en undskyldning for at klage over ting, der ikke er relateret til fejlen, eller ting, der faktisk ikke skete.
Skriver for CNet, siger Seth Rosenblatt "Apples kultur af hemmeligholdelse forsinker sikkerhedsrespons - igen" (tip af geviret til Shawn King).
Hvis det ikke var for nyhedsrapporterne om Apples "goto fail"-fix, der blev udgivet i tirsdags, vidste du måske ikke, at der havde været et sikkerhedsproblem med dine Mac'er.
Hvis det ikke var for nyhedsrapporter, kendte du måske ikke nyheder!
Undtagen Apple gjorde nå ud til medlemmer af pressen og sikkerhedssamfundet om goto fail-fejlen. Securosis's Rich Mogull bekræftede over for Macalope, at han hørte fra virksomheden og fik at vide af Apple, at virksomheden havde kontaktet en række andre personer. Det er ikke det samme som at være ærlig og åben over for sine kunder om sikkerhed, men det er heller ikke det samme som at "begrave" problemet.
Ash understregede, at han spekulerede i Apples begrundelse for den måde, opdateringen blev offentliggjort på, og sagde i en e-mail til CNET, at Apple muligvis har besluttede "at rulle TLS-rettelsen ind i 10.9.2, fordi de snart skulle udgive 10.9.2 for at rette disse andre sårbarheder, og en separat patch ville have forsinket det."
Nå, det lyder bestemt fornuftigt. Selvfølgelig ikke så rimeligt som at antage, at Apple er inkompetent eller doven eller dum eller noget. Det er klart det tænkende menneskes vej.
Beviserne peger på problemer hos Apple med at advare sine brugere og rette fejl i tide. Dette er problematisk, fordi det ikke er gjort klart for Mac- og iPhone-brugere, hvor vigtig en opdatering er for deres sikkerhed.
I modsætning hertil identificerer Google og Microsoft sikkerhedsrettelser med standardterminologi som Medium, High og Critical.
Kode blå. Orange. Medusa. Team Banzai.
Hvem bekymrer sig om, hvad de hedder? Brugere bør lappe dem alle.
Anyway, det er alt sammen godt og vel, men du ved, hvad denne artikel har brug for? Et citat fra en virksomhed, der sælger sikkerhedssoftware!
[Andrew Sudbury, CTO hos sikkerhedsstartup Abine,] tilføjede, at det største problem hos Apple er at holde iPhones og iPads sikre.
Ja, sikkerheden på den mest sikre platform, der findes, er bestemt et problem.
Den slibende lyd, du hører, er Sudburys økse. Her er aftalen: Sikkerhedssoftwareleverandører er afkrydset, fordi Apple ikke vil lade dem sælge deres slangeolie produkter på iOS. Enhver undskyldning er en god undskyldning for at prøve at klynke over det.
"iOS-enheder er en forbrugerenhed, og der er intet, du som bruger kan gøre [for at sikre dem.]"
Bogstaveligt talt ingenting. At installere opdateringer rettidigt og ikke besøge mistænkelige websteder eller klikke på mistænkelige links og ikke bruge offentlig Wi-Fi er alt sammen ingenting. De er ikke engang ting, virkelig. De eksisterer ikke på et kvantemekanisk niveau. Kig tilbage gennem dette afsnit, og du vil opdage, at Macalope aldrig nævnte dem.
Aldrig. Også selvom. Nævnte. Dem. Faktisk læser du ikke engang denne klumme lige nu. Du varmer en Hot Pocket op.
Apple tager alt deres ansvar, og selv sikkerhedsfirmaer kan ikke hjælpe dig, sagde han.
Ah, der er såret. Glem det faktum, at hvis Apple åbnede iOS i den grad, det ville være nødvendigt for at disse sikkerhedsprodukter kunne fungere, ville platformen blive mindre sikker. Men det, der er vigtigt, er, at det vil hjælpe sikkerhedsfirmaer med at sælge software.
Lobbyer Apple i dag for at gøre iOS mindre sikkert!
Desperat søger katharsis
Hey, det behøver du ikke tage den liderliges ord på. I stedet hvorfor ikke tage ordet fra Googles chef for Android, Sundar Pichai.
Vi kan ikke garantere, at Android er designet til at være sikkert, formatet er designet til at give mere frihed.
[RETTELSE: Ifølge et udskrift af begivenheden, som TechCrunch erhvervede fra Google, Pichai blev fejlciteret af et lokalt websted (tip af geviret til Peter Matthaei). Faktisk, ifølge deres udskrift, gør han præcis det modsatte. Nu, hvorfra Macalope sidder, modsiges det af, ja, virkelighed. Men der går du.]
Og som bumperklistermærker fortæller os, er frihed ikke gratis. Nogle gange er man nødt til det for at være fri give skurke dine bankoplysninger. Temmelig sikker på, at det er derfor, vi kæmpede og vandt Anden Verdenskrig, jer.
Ud over at forsøge at gøre iOS mindre sikker for at åbne muligheder for sikkerhedsfirmaer, er denne fejl sandsynligvis også et godt tidspunkt at genoptage gamle argumenter.
Skriver for ZDNet, siger Stilgherrian "Apple's goto fail har brug for en massiv kulturændring for at rette op."
Nå, faktisk nej, da det er blevet rettet på både iOS og OS X. Hvad du mener er, at Apple kan begå en lignende bommert igen - forudsat at fejlen ikke var en NSA-muldvarp eller en skjult handling CTU agent, suspenderet af en ledning over en tikkende kopi af Xcode (nej, 24 referencer er i hvert fald ikke dateret ikke mere).
Nu har Macalope længe tugtet Apple for sin holdning til sikkerhed, og der er åbenbart stadig plads til forbedringer. Men det betyder ikke, at enhver halt anklage mod virksomheden er sand.
Intet må plette billedet af Apples smukke, smukke have, selvom den under overfladen er rådden. Eller forgiftet.
Forlagsvirksomhed et dokument, der beskriver problemerne og henviser til de relevante CVE'er er ensbetydende med at nægte at der eksisterer problemer.
Derfor er jeg enig med Eugene Kaspersky, leder af Kaspersky Lab, som for næsten to år siden skrev, at når det kommer til sikkerhed, er Apple 10 år bagefter Microsoft.
Ah, det er ret rigt at bruge den fyr, hvis firmas Mac malware-bekæmpelsesværktøj slettede brugerindstillinger at banke Apple for en softwarefejl.
Apple kan være bagud for Microsoft i sikkerhedsprocedurer, men dets platforme er mindre målrettet end Windows og Android. For ikke at nævne det faktum, at det også skabte verdens mest sikre platform. Åh, men de fleste sikkerhedsfolk tæller det ikke, fordi det betyder, at deres venner ikke kan sælge software på det.
På det tidspunkt kaldte jeg ham en "herlig global megatroll" for det forslag, men skrev også, at Apples formodede usårlighed er en myte baseret på gammel historie.
Det er en myte. En myte, der videreføres mere af eksperter, der er opsat på brændende stråmands Apple-fans, som de har konstrueret end af nogen anden.
Dengang Windows var sårbart over for utallige vira og orme, udstedte Bill Gates sit Trustworth Computing-memo, og Microsoft rekonstruerede fuldstændig den måde, det lavede software på. Metoden Security Development Lifecycle (SDL) var resultatet. Windows blev dramatisk forbedret - ja, i det mindste fra et sikkerhedssynspunkt - så meget, at angriberne rykkede op i stakken og rev Adobes produkter i stykker.
Mand, hvis bare der var et eller andet firma, der var berømt for at holde Adobes produkter væk fra sin platform. Den ville helt sikkert blive rost universelt for sin fremsynethed og ikke pillet for at skabe en "smuk have."
Apple's goto fail er et klart tegn på, at den magiske have ...
EN magisk smuk have. Macalope beklager udeladelsen.
… har brug for at luge – eller endda en god dosis Agent Orange, snarere end endeløs Kool-Aid.
Og her kommer de dovne Apple-troper, der vælter ud af Stilgherrians mund som for mange klovne ud af en VW Bug!
Det ser ud til, at når det kommer til sikkerhed, kunne Apple stadig ikke finde sin numse med begge hænder. Måske skulle det bruge Apple Maps til at hjælpe. Nej, vent.
Ding-ding-ding-ding! Tillykke, du har lige vundet Lazy Apple Trope Bingo!
Afsløring: Stilgherrian har rejst til amerikanske sikkerhedsbegivenheder to gange som Microsofts gæst ...
Åh, så nogen, der er gennemsyret af Microsofts sikkerhedskultur, er en stor fan af Microsofts sikkerhedskultur? siger du ikke.
Rædselen. Rædselen.
Lad os fortsætte vores rejse, f.eks Charles Marlow, op ad denne flod af lidenskaber opflammet af en bug.
Computerworlds Gregg Keizer siger "Apple trækker Snow Leopard tilbage fra support, efterlader 1 ud af 5 Mac'er sårbare over for angreb" (tip af geviret til Peter Cohen).
AAAAAAIIIIIIEEEEEE!
Da Apple udsendte en opdatering til Mavericks, eller OS X 10.9, såvel som til sine to forgængere, Mountain Lion (10.8) og Lion (10.7), havde Apple intet til Snow Leopard eller dets ejere i går.
Keizers stykke var som at tabe en sten i en pulje af misinformation og forårsage bølger af skøre konklusioner.
Det erklærede Brad Reed fra Boy Genius Report "1 ud af 5 Mac'er er nu åben for malwareangreb."
Bred. Åben. Bare gå ind og tag hvad du kan lide.
I det mindste L.A. TimesSalvador Rodriguez formulerede det som et spørgsmål.
"Er Apple færdig med at understøtte Snow Leopard og 19 % af Macs?"
For sine penge foretrækker Macalope at tage af CNNMoneys Jose Pagliery.
"Apple afslutter sikkerhedsopdateringer til Snow Leopard"
Mac-computere er i stigende grad målrettet af cyberangribere. Det nyligt opdagede sikkerhedshul i Apple-enheder – som tillod udefrakommende adgang til e-mails, chatbeskeder og onlinebanktransaktioner – viser, hvor betydelige opdateringer kan være. Den fejl blev rettet tidligere på ugen.
Pagliery nævner ikke, at fejlen kun var til stede i Mavericks og ikke tidligere versioner. Så skal du vente til sidste afsnit for dette:
Ligesom Snow Leopard har Microsoft (MSFT, Fortune 500) annonceret, at de vil afbryde sikkerhedsopdateringer til Windows XP den 8. april. Det vil udgøre et potentielt meget mere alvorligt sikkerhedsproblem. Forbløffende 29% af computere over hele kloden kører stadig Windows XP, ifølge NetMarketShare.
Det er 29 procent af computere. Hvor mange procent af computere kører Snow Leopard?
Til sammenligning kører lidt over 1% af verdens pc'er Snow Leopard.
Men Apple laver overskriften, fordi Apple.
I modsætning til nogen af disse forfattere tilsyneladende tog Macalope sig faktisk tid til at læse de CVE'er, der henvises til i Apples 2014-001 sikkerhedsopdatering. Allesammen. Så tak for at få ham til at være den, der gør det. Han har ikke engang haft mulighed for at se denne uges afsnit af Pil endnu og …
Nå, i hvert fald, her er et par interessante fakta.
- De fleste af de fejl, der blev rettet, angiver enten eksplicit, at de kun er til stede i Mavericks (såsom SSL-fejlen, der startede det hele) eller Mountain Lion. De fleste af resten gør brug af introducerede teknologier efter Snow Leopard, såsom Sandboxing, og kunne derfor ikke engang være til stede i Snow Leopard.
- Ingen af CVE'erne angiver noget før Lion som værende påvirket. Det er uklart, om dette betyder, at Snow Leopard er upåvirket, eller om Apple simpelthen ikke tester Snow Leopard for disse fejl. Macalope er tilbøjelig til at tro, at det er sidstnævnte.
- Så vidt den liderlige kan se, kunne kun to CVE'er faktisk være i selve Snow Leopard. Den første er en relativt ikke-kritisk, men det tillader "lokale brugere at omgå tilsigtede adgangsbegrænsninger ved at ændre den aktuelle tid på systemuret." Det andet er mere kritisk, der tillader udførelse af vilkårlig kode eller et lammelsesangreb.
- Flere andre forholder sig til fejl i teknologier uden for styresystemet i sig selv, såsom PHP og Apache. Brugere kunne opdatere disse på egen hånd, selvom de skulle være opmærksomme på behovet for at opdatere.
Har Apple afbrudt sikkerhedsopdateringer til Snow Leopard? Det er svært at sige. Baseret på hvad han har set, er Macalope tilbøjelig til at tro, at den sandsynligvis har. Macalope og hans redaktør venter stadig på, at Apple svarer på en anmodning om afklaring. Jeg mener, Macalope vil ikke vente med at se det afsnit af Pil at vente eller noget. (Også godt, for jeg har lige set det, og det er en sløv. – Red.)
Uanset hvad, er det vigtigt, at dette er en god undskyldning for at kaste en masse insekter i luften og lade som om, de alle påvirker Snow Leopard, når de fleste af dem ikke gør det. Så meget er klart. Og lad os heller ikke tage fat på spørgsmålet om, hvem der forsøger at skrive malware målrettet mod 1 procent af desktop computing-markedet.
Ja. Hvorfor lader Macalope ikke Googles Sundar Pichai har det sidste ord:
Hvis jeg havde et firma dedikeret til malware, ville jeg også adressere mine angreb på Android.
[TILFØJET: Ifølge udskriften sagde Pichai faktisk dette.]