A slab hrošč je bilo ta teden najdeno v iOS 7 in Mavericks, tako da veste, kaj to pomeni: čas je za predvajanje Applovih pritožb, ne glede na to, ali so neposredno povezane s tem ali imajo kakršen koli smisel.
Najbolj kislo grozdje
Macalope ni tukaj, da bi trdil, da Apple ni zajebal stvari kraljevsko ali da ne bi smel izdati popravka čim prej. Če iščete njegove s kopitom odobrene kritike, preberite ta del Johna Gruberja o vprašanjih, ki jih odpira ta hrošč, in ta avtor Ashkan Soltani.
Kaj on je tukaj, da naredimo izjemo, pa je velika naglica, da bi ta dogodek uporabili kot izgovor za pritožbo o stvareh, ki niso povezane s hroščem, ali o stvareh, ki se dejansko niso zgodile.
Seth Rosenblatt piše za CNet "Applova kultura tajnosti znova zamuja varnostni odziv" (konica rogovja na Shawn King).
Če ne bi bilo v torek objavljenih novic o Applovem popravku »goto fail«, morda ne bi vedeli, da je prišlo do varnostne težave z vašimi računalniki Mac.
Če ne bi bilo novic, morda ne bi vedeli za novice!
Razen, Apple
naredil stopite v stik s člani novinarske in varnostne skupnosti glede napake goto fail. Rich Mogull iz Securosis je za Macalope potrdil, da se je oglasil s podjetjem in mu je Apple povedal, da je podjetje stopilo v stik s številnimi drugimi ljudmi. To ni isto kot biti odkrit in odprt s svojimi strankami glede varnosti, vendar tudi ni isto kot "zakopati" problem.Ash je poudaril, da špekulira o Applovih razlogih za način objave posodobitve, in je v e-pošti za CNET dejal, da je Apple morda odločili, »da bodo popravek TLS vključili v 10.9.2, ker so morali kmalu izdati 10.9.2, da bi odpravili te druge ranljivosti, ločen popravek pa bi odložil."
No, to se zagotovo sliši razumno. Seveda ni tako razumno kot domneva, da je Apple nesposoben ali len ali neumen ali kaj podobnega. To je očitno pot razmišljujoče osebe.
Dokazi kažejo na težave pri Applu s pravočasnim opozarjanjem uporabnikov in odpravljanjem napak. To je problematično, ker uporabnikom Mac in iPhone ni jasno, kako pomembna je posodobitev za njihovo varnost.
Nasprotno pa Google in Microsoft identificirata varnostne popravke s standardno terminologijo, kot so Srednje, Visoko in Kritično.
Koda Modra. Oranžna. Meduza. Ekipa Banzai.
Koga briga, kako se imenujejo? Uporabniki bi morali popraviti vse.
Kakorkoli, to je vse lepo in prav, ampak veste, kaj ta članek potrebuje? Citat nekoga iz podjetja, ki prodaja varnostno programsko opremo!
[Andrew Sudbury, tehnični direktor pri varnostnem zagonu Abine,] je dodal, da je večja težava pri Applu ohranjanje varnosti iPhonov in iPadov.
Da, varnost najvarnejše obstoječe platforme je zagotovo problem.
Ta škrtajoči zvok, ki ga slišite, je Sudburyjeva sekira. Tukaj je dogovor: prodajalci varnostne programske opreme so odkljukani, ker jim Apple ne dovoli, da bi prodali svojo kačje olje izdelkov na iOS. Vsak izgovor je dober izgovor, da poskušate jamrati o tem.
»Naprave iOS so potrošniške naprave in vi kot uporabnik ne morete storiti ničesar [da bi jih zaščitili.]«
Dobesedno nič. Pravočasno nameščanje posodobitev in ne obiskovanje sumljivih spletnih mest ali klikanje na sumljive povezave ter neuporaba javnega Wi-Fi-ja so nič. V resnici sploh niso stvari. Na kvantno-mehanski ravni ne obstajajo. Poglejte nazaj skozi ta odstavek in ugotovili boste, da jih Macalope nikoli niti ni omenil.
Nikoli. celo. Omenjeno. Njim. Pravzaprav trenutno sploh ne berete te kolumne. Segrevate Hot Pocket.
Apple prevzame vso svojo odgovornost in niti varnostna podjetja vam ne morejo pomagati,« je dejal.
Ah, tu je bolečina. Pozabite na dejstvo, da če bi Apple odprl iOS do stopnje, ki bi bila potrebna za delovanje teh varnostnih izdelkov, bi platforma postala manj varno. Toda pomembno je, da bi varnostnim podjetjem pomagalo pri prodaji programske opreme.
Lobirajte pri Applu še danes, da bo iOS manj varen!
Obupno išče katarzo
Hej, pri tem ti ni treba verjeti na besedo pohotnemu. Namesto tega zakaj ne bi vzeli beseda Googlovega vodje Androida Sundarja Pichaija.
Ne moremo zagotoviti, da je Android zasnovan tako, da je varen, format je bil zasnovan tako, da daje več svobode.
[POPRAVEK: Glede na prepis dogodka, ki ga je TechCrunch pridobil od Googla, Pichaija je lokalno spletno mesto napačno citiralo (konica rogovja na Peter Matej). Pravzaprav glede na njihov prepis trdi ravno nasprotno. Zdaj, od kod Macalope sedi, je to ovrženo, no, resničnost. Ampak izvoli.]
In kot nam sporočajo nalepke na odbijačih, svoboda ni zastonj. Včasih, da bi bil svoboden, moraš prevarantom dajte svoje bančne podatke. Skoraj prepričani smo, da smo se zato borili in zmagali v drugi svetovni vojni, fantje.
Poleg poskusa, da bi iOS postal manj varen, da bi odprli priložnosti varnostnim podjetjem, je ta hrošč verjetno tudi odličen čas za ponovno preučevanje starih argumentov.
Pišem za ZDNet, pravi Stilgherrian "Applov goto fail potrebuje obsežno spremembo kulture, da se popravi."
No, pravzaprav ne, saj je bilo popravljeno tako v iOS kot OS X. Mislite na to, da lahko Apple znova naredi podobno napako – ob predpostavki, da napaka ni bila dejanje krta NSA ali prikritega CTU agent, obešen z žico nad tiktakajočo kopijo Xcode (ne, 24 reference vsaj niso datirane ne več).
Zdaj ima Macalope dolgo kaznovana Apple za svoj odnos do varnosti in očitno je še prostor za izboljšave. Vendar to ne pomeni, da je vsaka neumna obtožba proti podjetju resnična.
Nič ne sme očrniti podobe Applovega lepega, lepega vrta, četudi je pod površjem gnilo. Ali zastrupljen.
Založništvo dokument, ki opisuje težave in se sklicuje na ustrezne CVE je enako zanikanju obstoja kakršnih koli težav.
Zato se strinjam z Eugeneom Kasperskyjem, vodjo Kaspersky Laba, ki je pred skoraj dvema letoma zapisal, da je Apple na področju varnosti 10 let za Microsoftom.
Ah, zelo bogato je uporabljati tipa, čigar podjetje je orodje za boj proti zlonamerni programski opremi za Mac izbrisane uporabniške nastavitve da potrka Apple zaradi programske napake.
Apple morda zaostaja za Microsoftom v varnostnih postopkih, vendar so njegove platforme manj ciljne kot Windows in Android. Da ne omenjam dejstva, da je ustvaril tudi najbolj varno platformo na svetu. Oh, vendar večina varnostnikov tega ne šteje, ker to pomeni, da njihovi prijatelji ne morejo prodajati programske opreme na njem.
Takrat sem ga zaradi tega predloga poimenoval "veličastni globalni megatrol", hkrati pa sem zapisal, da je Applova domnevna neranljivost mit, ki temelji na starodavni zgodovini.
To je mit. Mit, ki ga bolj ohranjajo strokovnjaki, ki nameravajo zažgati slamnate Applove oboževalce, ki so jih izdelali sami, kot kdo drug.
Ko je bil Windows ranljiv za nešteto virusov in črvov, je Bill Gates izdal svoj zapis Trustworth Computing in Microsoft je popolnoma preoblikoval način izdelave programske opreme. Rezultat je bila metodologija življenjskega cikla razvoja varnosti (SDL). Windows je bil dramatično izboljšan - no, vsaj z varnostnega vidika - tako zelo, da so se napadalci pomaknili navzgor in raztrgali Adobejeve izdelke na novo.
Človek, ko bi le obstajalo kakšno podjetje, ki je bilo znano po tem, da je Adobejeve izdelke zadrževalo na svoji platformi. Zagotovo bi ga vsesplošno hvalili zaradi njegovega predvidevanja in ne bi ga hvalili zaradi ustvarjanja »lepega vrta«.
Appleov neuspeh goto je jasen znak, da čarobni vrt ...
A čarobno lep vrt. Macalope obžaluje opustitev.
… potrebuje odstranjevanje plevela – ali celo dober odmerek Agent Orange, namesto neskončne Kool-Aid.
In tukaj pridejo leni Apple tropi, ki se razlijejo iz Stilgherrianovih ust kot preveč klovnov iz VW hrošča!
Zdi se, da ko gre za varnost, Apple še vedno ni našel svoje zadnjice z obema rokama. Morda bi moral za pomoč uporabiti Apple Maps. Ne, počakaj.
Ding-ding-ding-ding! Čestitamo, pravkar ste osvojili bingo Lazy Apple Trope!
Razkritje: Stilgherrian je dvakrat potoval na varnostne dogodke v ZDA kot Microsoftov gost ...
Oh, torej je nekdo, ki je potopljen v Microsoftovo varnostno kulturo, velik oboževalec Microsoftove varnostne kulture? Ne poveš.
Groza. Groza.
Nadaljujmo pot, kot Charles Marlow, navzgor po tej reki strasti, ki jo je razplamtel hrošč.
Gregg Keizer iz Computerworld pravi "Apple umakne Snow Leopard iz podpore, zaradi česar je 1 od 5 Macov ranljiv za napade" (konica rogovja na Peter Cohen).
AAAAAAIIIIIIIIIEEEEEE!
Ker je Apple izdal posodobitev za Mavericks ali OS X 10.9, pa tudi za svoja dva predhodnika, Mountain Lion (10.8) in Lion (10.7), Apple včeraj ni imel ničesar za Snow Leopard ali njegove lastnike.
Keizerjev prispevek je bil kot padec kamna v bazen napačnih informacij in povzročanje valov norih zaključkov.
Brad Reed iz The Boy Genius Report je izjavil "1 od 5 računalnikov Mac je zdaj zelo odprt za napade zlonamerne programske opreme."
Široko. Odprto. Samo vstopi in vzemi, kar ti je všeč.
Vsaj L.A. TimesSalvador Rodriguez je to izrazil kot vprašanje.
»Ali je Apple končal s podporo za Snow Leopard in 19 % računalnikov Mac?«
Za svoj denar ima Macalope raje Joseja Paglieryja s CNNMoney.
"Apple ukinja varnostne posodobitve za Snow Leopard"
Maci so vedno pogostejša tarča kibernetskih napadalcev. Nedavno odkrita varnostna luknja v napravah Apple – ki je zunanjim osebam omogočila dostop do e-pošte, neposrednih sporočil in spletnih bančnih transakcij – kaže, kako pomembne so lahko posodobitve. Ta napaka je bila odpravljena v začetku tega tedna.
Pagliery ne omenja, da je bila napaka prisotna samo v Mavericksih in ne v prejšnjih različicah. Potem morate počakati do zadnjega odstavka za to:
Tako kot Snow Leopard je tudi Microsoft (MSFT, Fortune 500) napovedal, da bo 8. aprila ukinil varnostne posodobitve za Windows XP. To bo predstavljalo potencialno veliko resnejši varnostni problem. Po podatkih NetMarketShare neverjetnih 29 % računalnikov po vsem svetu še vedno uporablja operacijski sistem Windows XP.
To je 29 odstotkov računalniki. Kolikšen odstotek računalnikov uporablja Snow Leopard?
Za primerjavo, nekaj več kot 1 % osebnih računalnikov na svetu uporablja Snow Leopard.
Toda Apple je na naslovnici, ker Apple.
Očitno za razliko od katerega koli od teh piscev si je Macalope dejansko vzel čas za branje CVE-jev, navedenih v Applovi varnostni posodobitvi 2014-001. Vse. Torej hvala, ker si ga prisilil, da mora biti tisti, ki to stori. Sploh si ni imel priložnosti ogledati epizode tega tedna Puščica še in …
No, kakorkoli, tukaj je nekaj zanimivih dejstev.
- Večina popravljenih hroščev izrecno navaja, da so prisotni samo v Mavericks (kot je hrošč SSL, ki je začel vse to) ali Mountain Lion. Večina ostalih uporablja uvedene tehnologije po Snow Leopard, kot je Sandboxing, in zato sploh ni mogel biti prisoten v Snow Leopardu.
- Nobeden od CVE-jev ne navaja ničesar pred Lionom kot prizadetega. Ni jasno, ali to pomeni, da Snow Leopard ni prizadet ali Apple preprosto ne preizkuša Snow Leoparda za te hrošče. Macalope je nagnjen k temu, da je slednje.
- Kolikor lahko pohoten pove, sta v Snow Leopardu dejansko lahko samo dva CVE. Prvi je razmeroma nekritičen, vendar to omogoča "lokalnim uporabnikom, da obidejo predvidene omejitve dostopa s spreminjanjem trenutnega časa na sistemski uri." Drugi je bolj kritičen, ki omogoča izvajanje poljubne kode ali zavrnitev storitve.
- Več drugih se nanaša na napake v tehnologijah zunaj operacijskega sistema kot takega, kot sta PHP in Apache. Uporabniki bi jih lahko posodobili sami, vendar bi se morali zavedati potrebe po posodobitvi.
Ali je Apple prekinil varnostne posodobitve za Snow Leopard? Težko je reči. Glede na to, kar je videl, se Macalope nagiba k temu, da verjetno res. Macalope in njegov urednik še vedno čakata, da se Apple odzove na zahtevo po pojasnilih. Mislim, Macalope ne bo odlašal z ogledom te epizode Puščica čakati ali karkoli. (Tudi dobro, ker sem ga pravkar gledal in je doozy. — ur.)
Kakorkoli že, pomembno je, da je to odličen izgovor, da v zrak vržete kup hroščev in se pretvarjate, da vsi vplivajo na Snow Leopard, čeprav jih večina ne. To je jasno. Prav tako ne obravnavajmo vprašanja, kdo poskuša napisati zlonamerno programsko opremo, namenjeno 1 odstotku trga namiznih računalnikov.
ja Zakaj Macalope ne pusti Googlov Sundar Pichai imeti zadnjo besedo:
Če bi imel podjetje, namenjeno zlonamerni programski opremi, bi se lotil tudi svojih napadov na Android.
[DODANO: Glede na prepis je Pichai to dejansko rekel.]