A kötü böcek bu hafta iOS 7 ve Mavericks'te bulundu, yani bunun ne anlama geldiğini biliyorsunuz: Bununla doğrudan ilgili olsun ya da olmasın, Apple şikayetlerinin yayınlanmasının zamanı geldi.
üzümlerin en ekşisi
Macalope, Apple'ın asil bir şekilde işleri batırmadığını veya olabildiğince çabuk bir yama çıkarmaması gerektiğini iddia etmek için burada değil. Onun toynak damgası onaylı eleştirilerini arıyorsanız, okuyun John Gruber'ın bu parçası bu hatanın ortaya çıkardığı sorular hakkında ve bu, Ashkan Soltani tarafından.
ne o dır-dir Bununla birlikte, bu olayı hatayla ilgili olmayan şeyler veya gerçekte olmayan şeyler hakkında şikayet etmek için bir bahane olarak kullanmak için büyük bir acele.
CNet için yazan Seth Rosenblatt diyor ki "Apple'ın gizlilik kültürü, güvenlik yanıtını yine geciktiriyor" (boynuzların ucu Shawn Kral).
Apple'ın Salı günü yayınlanan "başarısız olma" düzeltmesiyle ilgili haberler olmasaydı, Mac'lerinizde bir güvenlik sorunu olduğunu bilmiyor olabilirsiniz.
Haber raporları olmasaydı, haberleri bilemeyebilirsiniz!
Elma hariç yaptı goto fail hatası hakkında basın ve güvenlik topluluğu üyelerine ulaşın. Securosis'ten Rich Mogull, Macalope'ye şirketten haber aldığını doğruladı ve Apple tarafından şirketin birkaç kişiyle daha iletişim kurduğu söylendi. Bu, güvenlik konusunda müşterilerine karşı dürüst ve açık olmakla aynı şey değildir, ancak sorunu "gömmek" ile de aynı şey değildir.
Apple'ın güncellemenin yayınlanma şekliyle ilgili mantığı üzerine spekülasyon yaptığını vurgulayan Ash, CNET'e gönderdiği bir e-postada Apple'ın sahip olabileceğini söyledi. "TLS düzeltmesini 10.9.2'ye getirmeye karar verdiler çünkü bu diğer güvenlik açıklarını düzeltmek için yakında 10.9.2'yi çıkarmaları gerekiyordu ve ayrı bir yama geciktirdi.”
Bu kesinlikle mantıklı geliyor. Elbette, Apple'ın beceriksiz, tembel, aptal veya başka bir şey olduğunu varsaymak kadar mantıklı değil. Açıkça düşünen kişinin yolu budur.
Kanıtlar, Apple'ın kullanıcılarını uyarma ve kusurları zamanında düzeltme sorunlarına işaret ediyor. Bu sorunlu çünkü Mac ve iPhone kullanıcılarına bir güncellemenin güvenlikleri için ne kadar önemli olduğu açıklanmadı.
Buna karşılık Google ve Microsoft, güvenlik düzeltmelerini Orta, Yüksek ve Kritik gibi standart terminolojiyle tanımlar.
Mavi Kod. Turuncu. Medusa. Banzai'nin takımı.
Adlarının ne olduğu kimin umurunda? Kullanıcıların hepsini düzeltmesi gerekir.
Her neyse, bunların hepsi iyi ve güzel, ama bu makalenin neye ihtiyacı var biliyor musunuz? Güvenlik yazılımı satan bir şirketteki birinden alıntı!
[Andrew Sudbury, güvenlik şirketi Abine'de CTO,] Apple'daki en büyük sorunun iPhone'ları ve iPad'leri güvende tutmak olduğunu ekledi.
Evet, var olan en güvenli platformun güvenliği kesinlikle bir sorundur.
Duyduğun o gıcırtı sesi Sudbury'nin baltası. Anlaşma şu: Güvenlik yazılımı satıcıları işaretlendi çünkü Apple, yazılımlarını satmalarına izin vermiyor. yılan yağı iOS'taki ürünler. Herhangi bir bahane, bu konuda sızlanmak için iyi bir bahanedir.
"iOS cihazları bir tüketici cihazıdır ve bir kullanıcı olarak [onları korumak için] yapabileceğiniz hiçbir şey yoktur."
Kelimenin tam anlamıyla hiçbir şey. Güncellemeleri zamanında yüklemek ve şüpheli siteleri ziyaret etmemek veya şüpheli bağlantılara tıklamamak ve halka açık Wi-Fi kullanmamak hiçbir şey değildir. Onlar bir şey bile değiller, gerçekten. Kuantum-mekanik düzeyde mevcut değiller. Bu paragrafa tekrar bakın ve Macalope'nin onlardan hiç bahsetmediğini göreceksiniz.
Asla. Eşit. Adı geçen. Onlara. Aslında, şu anda bu sütunu okumuyorsunuz bile. Bir Hot Pocket'ı ısıtıyorsunuz.
Apple tüm sorumluluğu üstleniyor ve güvenlik şirketleri bile size yardımcı olamıyor” dedi.
Ah, acı var. Apple, iOS'u bu güvenlik ürünlerinin çalışması için ihtiyaç duyacağı ölçüde açarsa, platformun şu hale geleceğini unutun: az güvenli. Ancak önemli olan, güvenlik firmalarının yazılım satmasına yardımcı olacak olmasıdır.
iOS'u daha az güvenli hale getirmek için bugün Apple'a lobi yapın!
Çaresizce arınma arayışı
Hey, bu konuda azgın olanın sözüne inanmak zorunda değilsin. Bunun yerine neden almıyorsunuz? Google'ın Android başkanı Sundar Pichai'nin sözü.
Android'in güvenli olacak şekilde tasarlandığını, biçimin daha fazla özgürlük verecek şekilde tasarlandığını garanti edemeyiz.
[DÜZELTME: TechCrunch'ın Google'dan edindiği olayın dökümüne göre, Pichai yerel bir site tarafından yanlış alıntılandı (boynuzların ucu Peter Matthaei). Aslında, transkriptlerine göre, tam tersini söylüyor. Şimdi, Macalope'nin oturduğu yerden, bu yalan söylüyor, şey, gerçeklik. Ama işte gidiyorsun.]
Ve tampon çıkartmalarının bize bildirdiği gibi, özgürlük bedava değildir. Bazen özgür olmak için, dolandırıcılara bankacılık bilgilerinizi verin. Kesinlikle bu yüzden İkinci Dünya Savaşı'nı kazandık, millet.
Güvenlik firmalarına fırsatlar yaratmak için iOS'u daha az güvenli hale getirmeye çalışmanın yanı sıra, bu hata muhtemelen eski tartışmaları yeniden ele almak için de harika bir zaman.
Stilgherrian, ZDNet için yazıyor "Apple'ın başarısızlıkla sonuçlanması sorununun düzeltilmesi için büyük bir kültür değişikliğine ihtiyacı var."
Aslında hayır, hem iOS hem de OS X'te düzeltildiği için. Demek istediğiniz, Apple'ın benzer bir hatayı tekrar yapabileceğidir - hatanın bir NSA köstebeğinin veya gizli bir kişinin eylemi olmadığını varsayarsak. CTU ajan, Xcode'un çalışan bir kopyası üzerinden bir tel ile askıya alındı (hayır, 24 en azından referanslar tarihli değil artık değil).
Şimdi, Macalope var uzun süredir cezalandırılmış Apple, güvenliğe yönelik tutumu için ve açıkça hala iyileştirme için yer var. Ancak bu, şirkete yöneltilen her topal suçlamanın doğru olduğu anlamına gelmez.
Yüzeyin altında çürümüş olsa bile, Apple'ın güzel, güzel bahçesinin imajını hiçbir şey lekelememeli. Veya zehirlendi.
Yayıncılık sorunları açıklayan ve ilgili CVE'lere atıfta bulunan bir belge herhangi bir sorunun var olduğunu inkar etmekle eşdeğerdir.
Bu nedenle, yaklaşık iki yıl önce güvenlik söz konusu olduğunda Apple'ın Microsoft'un 10 yıl gerisinde olduğunu yazan Kaspersky Lab başkanı Eugene Kaspersky'ye katılıyorum.
Ah, şirketinin Mac kötü amaçlı yazılımla mücadele aracını kullanan adamı kullanmak oldukça zengin silinen kullanıcı ayarları bir yazılım hatası için Apple'ı çalmak.
Apple, güvenlik prosedürlerinde Microsoft'un arkasında olabilir, ancak platformları Windows ve Android'den daha az hedeflenir. Dünyanın en güvenli platformunu da yarattığı gerçeğinden bahsetmiyorum bile. Ah, ama güvenlik görevlilerinin çoğu bunu saymaz çünkü bu, arkadaşlarının orada yazılım satamayacağı anlamına gelir.
O zamanlar, bu öneri için ona "muhteşem bir küresel mega trol" demiştim, ama aynı zamanda Apple'ın sözde savunmasızlığının eski tarihe dayanan bir efsane olduğunu da yazmıştım.
Bu bir efsane. Herkesten çok kendi oluşturdukları saman adam Apple hayranlarını yakmaya niyetli uzmanların sürdürdüğü bir efsane.
Windows sayısız virüs ve solucana karşı savunmasızken, Bill Gates Trustworth Computing notunu yayınladı ve Microsoft, yazılım yapma şeklini tamamen yeniden tasarladı. Sonuç, Güvenlik Geliştirme Yaşam Döngüsü (SDL) metodolojisiydi. Windows, en azından güvenlik açısından o kadar önemli ölçüde iyileştirildi ki, saldırganlar yığında yükseldi ve Adobe'nin ürünlerini yeni bir tane yırttı.
Dostum, keşke Adobe ürünlerini platformundan uzak tutmasıyla ünlü bir şirket olsaydı. Elbette öngörüsü nedeniyle evrensel olarak övülecek ve "güzel bir bahçe" yarattığı için rezil edilmeyecektir.
Apple’ın başarısızlıkla sonuçlanması, sihirli bahçenin açık bir işareti…
A büyülü güzel bahçe Macalope ihmalden pişmanlık duyuyor.
… ayıklanmaya ihtiyaç duyar - hatta sonsuz Kool-Aid yerine iyi bir doz Ajan Portakal'a ihtiyaç duyar.
Ve Stilgherrian'ın ağzından bir VW Bug'dan çıkan çok sayıda palyaço gibi dökülen tembel Apple kinayeleri geliyor!
Görünüşe göre güvenlik söz konusu olduğunda, Apple iki eliyle hala kıçını bulamıyor. Belki de yardım etmek için Apple Maps kullanıyor olmalı. Hayır bekle.
Ding-ding-ding-ding! Tebrikler, Lazy Apple Trope Bingo'yu kazandınız!
Açıklama: Stilgherrian, ABD güvenlik etkinliklerine Microsoft'un konuğu olarak iki kez gitti…
Oh, yani Microsoft'un güvenlik kültürüne batmış biri Microsoft'un güvenlik kültürünün büyük bir hayranı mı? sen söyleme
Korku. Korku.
gibi yolculuğumuza devam edelim. Charles Marlow, bir böcek tarafından tutuşturulmuş bu tutku nehrinin yukarısında.
Computerworld'den Gregg Keizer diyor ki "Apple, Snow Leopard'ı destekten çekiyor ve her 5 Mac'ten 1'ini saldırılara karşı savunmasız bırakıyor" (boynuzların ucu Peter Cohen).
AAAAAIIIIIIIIIEEEEEE!
Apple, Mavericks veya OS X 10.9'un yanı sıra iki öncülü Mountain Lion (10.8) ve Lion (10.7) için bir güncelleme yayınladığından, Apple'ın dün Snow Leopard veya sahipleri için hiçbir şeyi yoktu.
Keizer'in makalesi, bir yanlış bilgi havuzuna taş atmak ve çılgın sonuçlara varma dalgalarına neden olmak gibiydi.
The Boy Genius Report'tan Brad Reed açıkladı "5 Mac'ten 1'i artık kötü amaçlı yazılım saldırılarına açık."
Geniş. Açık. Sadece içeri gir ve ne istersen al.
en azından LA TimesSalvador Rodriguez bunu bir soru olarak ifade etti.
"Apple, Snow Leopard'ı ve Mac'lerin %19'unu desteklemeyi bitirdi mi?"
Macalope, parası için CNNMoney'den Jose Pagliery'nin alınmasını tercih ediyor.
“Apple, Snow Leopard için güvenlik güncellemelerini sonlandırıyor”
Mac'ler giderek daha fazla siber saldırganlar tarafından hedef alınıyor. Apple cihazlarında kısa süre önce keşfedilen ve dışarıdan kişilerin e-postalara, anlık iletilere ve çevrimiçi banka işlemlerine erişmesine izin veren güvenlik açığı, güncellemelerin ne kadar önemli olabileceğini gösteriyor. Bu hata bu hafta başlarında giderildi.
Pagliery, hatanın yalnızca Mavericks'te mevcut olduğundan ve önceki sürümlerde bulunmadığından bahsetmiyor. O halde bunun için son paragrafa kadar beklemeniz gerekiyor:
Snow Leopard gibi Microsoft da (MSFT, Fortune 500) Windows XP için güvenlik güncellemelerini 8 Nisan'da sonlandıracağını duyurdu. Bu, potansiyel olarak çok daha ciddi bir güvenlik sorunu oluşturacaktır. NetMarketShare'e göre, dünyadaki bilgisayarların %29'u hala Windows XP kullanıyor.
Bu yüzde 29 bilgisayarlar. Bilgisayarların yüzde kaçı Snow Leopard kullanıyor?
Nispeten, dünyadaki bilgisayarların %1'inden biraz fazlası Snow Leopard kullanıyor.
Ama Apple manşeti Apple çünkü yapıyor.
Görünüşe göre bu yazarların herhangi birinin aksine, Macalope aslında Apple'ın 2014-001 güvenlik güncellemesinde atıfta bulunulan CVE'leri okumak için zaman ayırdı. Hepsi. Bu yüzden onu bunu yapmak zorunda bıraktığın için teşekkürler. Bu haftaki bölümü izleme fırsatı bile bulamamıştı. Ok henüz ve…
Her neyse, işte birkaç ilginç gerçek.
- Düzeltilen hataların çoğu ya yalnızca Mavericks'te (her şeyi başlatan SSL hatası gibi) ya da Mountain Lion'da bulunduğunu açıkça belirtir. Geri kalanların çoğu tanıtılan teknolojileri kullanıyor sonrasında Sandboxing gibi Snow Leopard ve bu nedenle Snow Leopard'da bile bulunamadı.
- CVE'lerin hiçbiri Lion'dan önceki herhangi bir şeyi etkilenmiş olarak listelemiyor. Bunun Snow Leopard'ın etkilenmediği veya Apple'ın Snow Leopard'ı bu hatalar için test etmediği anlamına gelip gelmediği açık değil. Macalope, ikincisi olduğuna inanma eğiliminde.
- Azgın kişinin söyleyebileceği kadarıyla, aslında Snow Leopard'ın kendisinde yalnızca iki CVE olabilir. İlki nispeten kritik değildir, ancak bu "yerel kullanıcıların, sistem saatindeki geçerli saati değiştirerek amaçlanan erişim kısıtlamalarını atlamasına" olanak tanır. ikincisi daha kritik, isteğe bağlı kodun yürütülmesine veya hizmet reddine izin verir.
- Diğerleri, PHP ve Apache gibi işletim sistemi dışındaki teknolojilerdeki hatalarla ilgilidir. Güncelleme ihtiyacının farkında olmaları gerekmesine rağmen, kullanıcılar bunları kendi başlarına güncelleyebilir.
Apple, Snow Leopard için güvenlik güncellemelerini durdurdu mu? Söylemesi zor. Gördüklerine göre, Macalope muhtemelen öyle olduğunu düşünmeye meyilli. Macalope ve editörü hâlâ Apple'ın bir açıklama talebine yanıt vermesini bekliyor. Demek istediğim, Macalope o bölümü izlemekten vazgeçmeyecek. Ok beklemek ya da herhangi bir şey. (Ayrıca iyi, çünkü onu yeni izledim ve bu bir sersem. —Ed.)
Durum ne olursa olsun, önemli olan, havaya bir sürü böcek atmak ve çoğu etkilemezken hepsi Snow Leopard'ı etkiliyormuş gibi davranmak için bunun harika bir bahane olmasıdır. Bu kadarı açık. Masaüstü bilgi işlem pazarının yüzde 1'ini hedefleyen kötü amaçlı yazılımları kimin yazmaya çalıştığı sorusuna da değinmeyelim.
Evet. Macalope neden izin vermiyor Google'ın Sundar Pichai'si son sözü söyle:
Kötü amaçlı yazılımlara adanmış bir şirketim olsaydı, Android'deki saldırılarımı da ele alıyor olurdum.
[EKLENDİ: Yazıya göre, Pichai bunu gerçekten söyledi.]