BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS (diskuse)

Ako je možné, že trvalo dokončený systém má tieto chyby ?

Root v linuxe : "Root povedal, linux vykona."

9.9.2023 13:59 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Na základě té zranitelnosti by mohlo někoho napadnout, že MacOS je cca 20 let za Windows.

9.9.2023 15:41 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Jako zastupce macos mensiny tady bych se chtel k situaci vyjadrit: neni pravda ze macos ma nejake chyby, to jsou jenom hejty windows a linux uzivatelu. Kazdy profesional vi ze macos neni zapotrebi aktualizovat protoze zadne chyby se v nem nevyskytuji. Tyhle fake news slouzi jenom k poskozovani jmena macos a apple. Konec ironie. Jako u kazdeho sw se chyby objevi. Zaplaty vydava apple rychle takze za me ok.

9.9.2023 18:17 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

U chyby je důležité i to jak dlouho v OS je (to je doba jejího potenciálního zneužití). To, že si jí není vědom tvůrce OS ještě neznamená, že není delší dobu známa třetí straně (black hats).

9.9.2023 21:24 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

neoveroval sem, ale na rootu pisou ze je/byla "Aktivně zneužívaná" ...

porad nemam telo, ale uz mam hlavu... nobody

12.9.2023 20:02 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Tady se například zmiňuje, že MacOS BigSur dostal patch na určitou zranitelnost 234 dní před jemu předchozí MacOS Catalina. V obou případech šlo v dané době o podporované verze MacOS.

12.9.2023 20:06 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

13.9.2023 04:33 k3dAR | skóre: 63
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

a nechapes rozpor s tvojim "Zaplaty vydava apple rychle"...

porad nemam telo, ale uz mam hlavu... nobody

13.9.2023 07:15 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Hele, neni to v souladu s apple standardy ani s mym ocekavanim, to ti uznavam.

zdejší mactardi dostaly pěknou ťafku, prej že je nej bezpečnější a kdesi cosi, to se na nějakej přechod můžu z vysoka vysrat a zůstat u děravých windejsi a linuxu, vyjde to totiž nastejno

10.9.2023 14:16 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Mnozstvi zranitelnosti: Debian 11 - 1024, Windows10 v2004 x64 - 936, macOS 13 - 269. Debian, Windows, macOS. Zustan u ceho chces.

10.9.2023 14:23 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Možná by stálo za to podívat se, jaké všechny programy se do toho zahrnují. Například pro Debian jsou to všechny balíčky v repozitáři. Náhodně otevřená CVE z toho seznamu jsou třeba:

CVE-2023-25725 HAProxy before 2.7.3 may allow a bypass of access control because HTTP/1 headers are inadvertently lost in some situations, aka "request smuggling."

(obsahují ty druhé dva systémy nějaký ekvivalent HAProxy, jehož chyby by v tom seznamu byly reportovány?)

CVE-2023-4359 Inappropriate implementation in App Launcher in Google Chrome on iOS prior to 116.0.5845.96 allowed a remote attacker to potentially spoof elements of the security UI via a crafted HTML page.

(to vypadá pro Debian velmi relevantně)

CVE-2022-31090 Guzzle, an extensible PHP HTTP client. `Authorization` headers on requests are sensitive information. In affected versions when using our Curl handler, it is possible to use the `CURLOPT_HTTPAUTH` option to specify an `Authorization` header.

(obsahují ty druhé dva OS vůbec něco jako PHP? natož pak s nějakou obskurní knihovnou Guzzle?)

CVE-2022-29885 The documentation of Apache Tomcat 10.1.0-M1 to 10.1.0-M14, 10.0.0-M1 to 10.0.20, 9.0.13 to 9.0.62 and 8.5.38 to 8.5.78 for the EncryptInterceptor incorrectly stated it enabled Tomcat clustering to run over an untrusted network.

(obsahují ty druhé dva OS ekvivalent Tomcatu?)

10.9.2023 16:09 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Jako utocnika me zajima co je dostupne a zranitelne na danem systemu. Linux jaksi logicky bude obsahovat serverovy sw ktery bude mit diry ve srovnani s macos kde budou diry v naproste vetsine v neserverovych aplikaci. Tohle je tezke srovnavat, uzivatele linuxu maji jiny zpusob prace s pocitacem (geek, instaluje, testuje, mozna programuje) vs macos uzivatel (par applikaci z appstore). Srovnani v ramci toho co vse uzivatel dostane od “vyrobce” jsou cisla ktere jsem uvedl. Ze asi zadny uzivatel debianu nebude mit nainstalovane vsechny balicky je jasne, stejne tak je jasne ze ne vsechny aplikace budeou bezet atd. A to plati i pro windows nebo macos.

10.9.2023 16:15 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Pěkná demaogie tak, aby se ti to hodilo do krámu. Prostě nebudeme srovnávat jen jablka s hruškami, ale jablka s botama, protože to prostě data umožňují :D.
Kolik uživatelů desktopu si naladí Tomcat? Wildfly? Apache? Nginx? Postgres? php? Moc jich nebude, navíc v dnešní době kontejnerizace a dalších věcí si to ani nenaladí přímo do OS, ale do kontejneru. Doporučuji se probdit.
A pokud podobné app chceš zahrnovat do stat Debianu, tak proč je nechceš zahrnout do stat ostatních OS? Jsou to multiplatformní app. Protože pak by ti čísla nevyšly, co? :)
Zdar Max

Měl jsem sen ... :(

10.9.2023 16:31 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Libi se mi kdyz clovek uvede nejaky oficialni zdroj ktery rika ze linuxova distribuce ma vice der nez macos nebo windows tak linuxaci kopou nozickami ze je to demagogie. Kolik uzivatelu macos ma nainstalovany tomcat? Tisice? Kolik linuxu bude mit tomcat? Miliony? Protoze ma linux dominanci na serverech? Klidne mi nabidni cisla ktera budou vychazet ve prospech linuxu. Chces srovnat treba zranitelnosti v kernelu linuxu a macos? V linuxovem kernelu je tech chyb vice. Neco jineho? Dej cisla Maxi jinak tady jenom kopes nozickama bez cisel.

10.9.2023 16:42 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Uvedl jsi leda tak houbelec a nejsi ani z to to připustit. To je asi tak vše, co lze k tomu říci. A protože si línej vůbec řešit nějaký data, tak to chceš po ostatních? Lol.
Pokud nemáš na to, dělat nějaké trochu smysluplné analýzy, tak je prostě nedělej, bo jinak vypouštíš jen hlouposti.
Zdar Max

Měl jsem sen ... :(

10.9.2023 16:48 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Klidne to muzeme porovnat na kernelu - linux ma tisice zranitelnosti v kernelu vs ~50 zranitelnosti v macos kernelu. Je to relevantni srovnani? Nebo ted budes protestovat ze v tom nejsou aplikace? Nebo ze macos nepodporuje nejakou obstarozni sitovku kterou zrovna ty pouzivas?

10.9.2023 17:14 RealJ++
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Bude protestovat ze to nejsou chyby v kernelu ale modulech a driverech. A kdyz mu oponujes ze mi drivery v kernelu je kokotina z minuleho tisicileti tak bude pobouren protoze mu slapes na dogma :) Linuxaci se krouti jak hadi kdyz jdes do nich, nejvic nenavidi fakty.

11.9.2023 01:04 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

A to plati i pro windows nebo macos.

Jenže když má někdo Windows, vyvíjí na tom weby v PHP nebo Javě, a tak si nainstaluje PHP nebo Tomcat, tak bude mít stejnou sadu děr, ale v tom seznamu započítané nebudou. U Debianu jo.

12.9.2023 10:21 koroptev
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

tvl koukam zes je tu singlehandedly setrel jak soply z kniru

cela letka pychou nadmutejch linuxtardu a nejsou schopny se postavit pravde tvrdejch cisel

12.9.2023 11:07 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Prohoď si ruku, ať tě ta pravačka nezačne moc bolet :)
Zdar Max

Měl jsem sen ... :(

12.9.2023 13:03 koroptev
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

co nadelam, sam, kdyz nejsem soucasti circlejerku jako vy

10.9.2023 14:42 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Pokud chceš porovnávat zranitelnosti jednotlivých systémů, tak je třeba porovnávat, čeho se týkají a jakou mají závažnost.
Zdar Max

Měl jsem sen ... :(

10.9.2023 16:26 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

To bychom srovnavali stovky aplikaci coz se neda v jednom prispevku. Kdyz nejaka distribuce bude mit 20tis balicku ve srovnani s 50ti aplikacemi na macos tak logicky tech chyb ve 20tis aplikacich bude vice. Macos ma historicky zaklady z bsd a to se snad shodneme ze bsd jsou obvykle bezpecnejsi nez linux.

10.9.2023 16:39 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

BSD je silně za zenitem. Možná má vyšší bezpečnost, ale také mnohem méně funkcí, mnohem horší podporu hw, mnohem méně app atd. atd. atd.
Také je smutné to, že porovnáváš distribuci, která obsahuje snad skoro všechny app s OS, kde je pár základních app.
Postuješ hlouposti, a obhajuješ to leností :D. O takových šrotech, co předvádíš, nemá smysl ztrácet čas diskusí...
Zdar Max

Měl jsem sen ... :(

10.9.2023 16:44 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Logicky kdyz budu podporovat 5 zarizeni misto 5M tak tech chyb budu mit min. Souhlasim. Diskuse nema smysl. Cisla jsou jasna. Macos diky tomu ze nema v zakladu 20tis picovin je bezpecnejsi. Chces ukazat opak? Dej cisla.

10.9.2023 17:58 linuxak
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

MAC je sice pekny na rozdil od windows, ale taky je to vezeni. Je inherentne nebezpecny.

Je to jako kdyz si saddam hussain koupi bezpecne, sifrovane vysilacky - ale od spatneho dodavatele. Nebo kdyz mas barak a firma ti tam udela zabezpeceni, ale necha si backdoor a klice, aby 'mohli mit pristup'.

Nebo jako kdyz si vse ulozis do sejfu, ke kteremu ma pristup banka i stat, muze tam nece sebrat, analyzovat, pridat (treba kinderporno) a pak te za to zavrit.

Nebo jako kdyz se vlada domluvi s facebookem a vleze na tvuj ucet a za tebe tam neco rekne -- a pak te za to zavre. Tak nema smysl se bavit o tom, jak pevne jsou dvere, jak dobre jsou zasifrovana hesla facebooku, jake sifrovani maji vysilacky....

Linux je dobry jen a jen proto, ze uzivatel ma jakousi vyssi uroven kontroly nad hardwarem a aplikacemi. V pripade windows a macu automaticky ztraci kontrolu. Mac i windows jsou nahackovany primo od vyrobce a spoulupracujicich vlad. A lidem to vubec nedochazi...

Takze srovnavas nesrovnatelne. Ale podle me to dobre vis.

10.9.2023 20:29 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Nezmiňoval zde nedávno RealJ NDA související s Apple? Jak v takových případech rozlišujete co je názorem dané osoby a kdy "money talks"?

11.9.2023 15:37 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Zminoval jsem nda s ovocinarskym vyrobcem. Kdo videl nekdy jakekoliv zdrojaky od nich tak vi ze je to desna sracka bez ohledu na produkt. Presto se jim nejak dari nemit tech bugu hodne.

11.9.2023 15:39 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Vsichni te sleduji, stat, banka, jeste i ten lidl. Linux je jedine reseni. Firewall blokujici vsechny prichozi i odchozi spojeni. Nebo si vzit cepicku a jit do lesa bejt offline. Ja s tebou souhlasim v tom ze vsechny OS vcetne linuxu obsahuji ruzne backdoory.

12.9.2023 13:05 koroptev
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

zastavil bych se u "mnohem mene app"

pro ucely myslenkoveho experimentu nahradme slovo "app" slovem "hovno"

are we here yet? myslim ze ano

Jak je sakra mozne, ze OS ma takovou stupdidni fci, na obrazky jsou knihovny - a jak je sakra mozne, ze obrazek neotevrita jako non-executable data ale jako executable ??? - JAK JE TOHLE K* MOZNE - ne tohle se ve Fedore se SElinuxem nemuze stat - hlavne se pri tehle chybe nic nespusti

11.9.2023 15:41 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Ale prosim te, selinux ma taky zranitelnosti… kazdy sw ma zranitelnosti.

11.9.2023 16:59 plostenka | blog: plstnk
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Selinux je naprosto bezpecny stejne jako livobolny jiny vytvor NSA.

11.9.2023 18:51 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

Aha, i na selinux jsou bugreporty, tak ho nebudeme používat :DDD
Zdar Max

Měl jsem sen ... :(

11.9.2023 20:35 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

A procbychom ho nepouzivali? Reagoval jsem na vyjadreni ze na fedore se selinuxem se nic nemuze stat. Snad s tim nesouhlasis Maxi…

12.9.2023 13:07 koroptev
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

selinux je zdaleka nejmensi problem ty kupy hoven s nazvem fedora

na server by to dal jen magor a na desktop to postrada uplne elementarni funkcionalitu, coz distroborci vyvazuji peclive pestenymi bugy

12.9.2023 09:48 Mue & Hehe
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

In Budgie 38 Spin it crashes 2-3 times a day and then logs me out 2-3 times a day due to "gdb [gnome something?] wants to access xyz. On top of accomplishing almost nothing per day, when this happens the Budgie Deskop crashes in unison. It's really sucked the last few days.

This SELinux warning "something is trying to access something" is a very common I've read. Almost a normal bug. It says if I trust GDB to append some .conf....but Fedora will not tell me if I should trust it or not trust it so chasing my tail here.

So long story short I set SeLinux to 'passive' state in the terminal and I enjoy my computing time again.

12.9.2023 13:09 koroptev
Rozbalit Rozbalit vše Re: BLASTPASS, závažný bezpečnostní problém v macOS, iOS, iPadOS a watchOS

na wikipedii pisou, ze to ma za sebou jenom 23+ let vyvoje, tak holt jeste vychytavaj detsky nemoce