Æblet blev alligevel ramt: Apple patcher for Heartbleed

24. april 2014 kl. 10:4116
Trods virksomhedens tidligere meldinger viser det sig, at Apple alligevel blev ramt af Heartbleed-bristen. Indrømmelsen kommer sammen med rettelsen til de ramte AirPort-routere.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Apple har netop udgivet en firmwareopdatering til virksomhedens nyeste AirPort-routere, der skal lukke det omstridte Heartbleed-hul i OpenSSL. Det skriver Mashable.

Virksomheden havde ellers i følge Mashable tidligere meldt ud, at hverken iOS eller OSX har “inkorporeret den sårbare software” og at deres web-services desuden heller ikke var berørt af Heartbleed.

Artiklen fortsætter efter annoncen

Men det gjaldt altså ikke for visse modeller af virksomhedens routere. De berørte modeller er de nyeste AirPort Extreme og Time Capsule-routere med 802.11ac, der blev udgivet i 2013.

Apple skriver i forbindelse med firmwareopdateringen, at fejlen i sjældne tilfælde ville kunne give en angriber adgang til informationer fra routernes proces-hukommelse.

Derfor anbefaler virksomheden altså nu alle brugere at opdatere deres routere med den nyeste 7.7.3-firmware.

Emner
16 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
16
Jakob Damkjær
26. april 2014 kl. 21:41

Der er en forskel på konsekvenserne for at rette alt så hurtigt så muligt uden at tænke på konsekvenserne ved at autoopdatere og lave QC på produktet inden man sender rettelser ud.

Ja Google opdatere automatisk og ofte men hvis Apple gjorde det samme og det breakede et VPN login eller et webinterface så har Apple bare et større ansvar at leve op til end Google. Hvis Google faktisk nu lavede en løsning som der var meningsgivende dele af eksisterende virksomheder blev opdateret ( og ikke kun de dele der kan klare sig uden legacy Apps) til så ville de også skulle kunne garantere at deres produkt virker med en eksisterende infrastruktur og så er en politik der diktere "Update as som as fix is done damn the QC ppl to hell and fuck all customers solutions that break by the update" ikke holdbar...

Og når det er seriøse ting der kræver umiddelbar handling så leveres Apple også hurtig men de skal bare lige også ha krydset alle felter af hos QC inden de bare trykker på knappen og sender det afsted... Som Google ville gøre...

At Google så er nogen narhatte og udgiver deres Update notes med det samme kan sagtens opfattes som direkte sabotage forsøg ( ie at de i en vis tolkning er medelagtige hvis deres noter benyttes til at hacke andre systemer der benytter webkit..).

Men hey det er jo helt fair at gøre det... På samme måde som navkepillende medieliderlige sikkerhedsfolk altid udgiver detaljer om sikkerhedhuller de har fundet 3 dage inden patchen kommer for så kan linkbait centralerne skrive det op som et superkritisk sikkerhedshul der endnu ikke er blevet patchet...

Når man har set det cirkus et par gange uden man er blevet pwnet så taber den "advarselsfunktion" som den slags udtalelser lidt sin relevans...

At der nok så også er lidt sure rønnebær blandet ind i den her specifikke historie da hende der skriver er en tidligere appleansat...

Hvis hun nu skrev lidt om hvordan hun havde fundet en magisk måde at lave QC / QA checks på så de tog nul tid ville det bære lidt mere gravitation det hun skriver... Eller hvis hun kunne pointere at Googles offentliggørelse havde medført aktive exploits der registrerede på antivirus honeypot systemerne... Ville det også runge lidt mindre hult...

Men det har hun ikke så zero news... Google sender ud uden at checke - Apple samler lidt til bunke og checker det inden de udsender fikset... Det er der konsekvenser ved og det er kun fordi Google ikke sælger noget de kan tillade sig at sende utestede updates ud uden at blive smidt på porten...

Samtidig er den måde Google laver deres updates en permanent admin privilegeret service med en åben port i firewallen, så at ha den installeret på sit system er også en sikkerhedsrisiko... So Pick your poison... I Pick the one that dont put my system in a State of autopwnage if the Google Update service was compromised. (Dvs at lægge et rootkit ind i på Update lib på Googles servere vil medføre autoinstalation på alle computere med chrome eller googleearth på med admin privilegier).

  • more_vert
    • insert_linkKopier link
13
Slettet bruger
24. april 2014 kl. 18:17

I visse kredse er det bare blevet smart at nedgøre alt hvad Apple gør samt kalde alle der ikke er enige i nedgørelsen for fanboys og religiøse fanatikere.

Og ja, der findes også lige så mange folk, der ukritisk elsker alt hvad Apple gør og kalder alle der ikke er enige for Apple haters.

Personligt foretrækker jeg dog usaglig kærlighed frem for usagligt indebrændt had, hvis jeg absolut skal vælge.

Artiklen her på V2 bærer efter min opfattelse desværre præg af en hoverende negativ tone, hvor skribenten ærinde først og fremmest er at udstille Apple.

Hvorfor ikke bare rapportere neutralt om at to af Apples routere er berørt af fejlen, så folk kan tage deres forholdsregler? Og så måske supplere med hvilke andre producenter/produkter der er berørt så man også der kan tage sine forholdsregler.

Det havde været meget mere informativt end at puste til det sædvanlige bål med for og imod Apple - for det tjener intet som helst formål på en side som V2, der slår sig på at være det professionelle IT-medie i Danmark. Gid det var sådan, for det mangler vi i den grad. Tilbage på sporet V2.

  • more_vert
    • insert_linkKopier link
14
Jesper Kleis
24. april 2014 kl. 21:27

Artiklen her på V2 bærer efter min opfattelse desværre præg af en hoverende negativ tone, hvor skribenten ærinde først og fremmest er at udstille Apple.

Ikke enig - umiddelbar virker det blot som en dårlig artikel, hvor der skal være en fed overskrift og nogle der indrømmer noget.

Jeg synes ikke der er noget hoverende eller andet. Men man kan håbe at V2 bestræber sig på at være faktuel og ikke have catchy titler.

  • more_vert
    • insert_linkKopier link
10
Kim Henriksen
24. april 2014 kl. 15:05

I smell fan bois!

  • afventer at blive sablet ned omlidt :-P
  • more_vert
    • insert_linkKopier link
11
Bo Voigt
24. april 2014 kl. 15:36

Popcorn?

Nej helt alvorligt, havde det været Microsoft der havde foretaget en sådan divergerende udmeldelse, ville stormen først have lagt sig i næste uge. Men skroget skal vi lade være. Et afbidt æble er et skrog.

  • more_vert
    • insert_linkKopier link
7
Adam Tulinius
24. april 2014 kl. 13:18

Det her er under acceptabelt niveau.

"""Virksomheden havde ellers i følge Mashable tidligere meldt ud, at hverken iOS eller OSX har “inkorporeret den sårbare software” og at deres web-services desuden heller ikke var berørt af Heartbleed.

Men det gjaldt altså ikke for visse modeller af virksomhedens routere."""

Kører airport enhederne iOS eller OSX? Nej? Godt så.

Havde dette været forsiden på EB var de bleve tvunget til at lave et dementi på forsiden ved førstkomne lejlighed. Måske burde nogen melde jer til presseforbundet (eller hvem det nu er man klager til over at blive hængt ud i medierne uden grund)?

Denne artikel bør slettes og erstattes af en undskyldning, og så kan i supplere med en nyhed om at Apple har frigivet en opdatering til deres airport-enhder.

  • more_vert
    • insert_linkKopier link
9
Lars Hansen
24. april 2014 kl. 14:35

Det her er under acceptabelt niveau.

Det der er under acceptabelt niveau er da at Apple fortæller at det "tager sikkerhed meget seriøst" (åbenbart i modsætning til andre leverandører) men så vælger at fortie at de rent faktisk har problemet i visse af deres produkter.

  • more_vert
    • insert_linkKopier link
12
Mark Jensen
24. april 2014 kl. 16:37

Hvor har de nævnt at andre ikke tager sikkerhed seriøst?

  • more_vert
    • insert_linkKopier link
6
Kenneth Schack Banner
24. april 2014 kl. 12:31

Der er vidst en version2 blogger der har ondt i balderne over æble produkter ^^

  • more_vert
    • insert_linkKopier link
1
Jakob Damkjær
24. april 2014 kl. 11:18

"Virksomheden havde ellers i følge Mashable tidligere meldt ud, at hverken iOS eller OSX har “inkorporeret den sårbare software” og at deres web-services desuden heller ikke var berørt af Heartbleed."

Det er også det der er fakta... Så hvorfor er det version2 benytter en måde at beskrive det på som implicere at det ER tilfældet at iOS Mac OS X og Apples webtjenester er påvirket at heartbleed når det IKKE ER tilfældet.

Skam jer version2 i slider hårdt på den sidste rest af troværdighed i har på redaktionelt plan, snart vil de bloggere der skriver for jer ikke længere ha lyst til at blive associeret med en udgivelse der har så lemfeldigt et forhold til fakta og oprigtig beskrivelse af fakta som i har.

Ud over jeres fakta ignorerande beskrivelse af hvad der er fakta så har version2 i denne uge valgt at undertrykke en Apple historie der faktisk kunne opfattes som positiv. Netop at Apple udvider deres Appleseed beta software program så folk uden en developer licens kan få adgang til beta versioner af Mac OS X... men det er sikkert ikke noget som folk med en interesse for software interessere sig for...

https://appleseed.apple.com/sp/betaprogram/

Noget der kunne ses som en ret stor ændring i hvordan Apple tester deres software...

  • more_vert
    • insert_linkKopier link
4
Uffe Seerup
24. april 2014 kl. 11:56

Jeg tror at det artiklen (fra Mashable) påpeger er, at dét Apple tidligere har meldt ud måske var sandt ud fra et snævert perspektiv, men at de ikke fortalte hele sandheden.

Kunde: Er der transfedtsyrer i jeres mad?

Ekspedient: Der er ikke transfedtsyrer i vores burgere eller i vores salater

Kunde: Så vil jeg gerne have menu nr. 3.

Ekspidient: Ja, sågerne.

(Kunden får sin mad og spiser den)

Ekspedient: Ahem. Jeg fortalte at der ikke var transfedtsyrer i vores burgere eller i vores salater, men de pommes frites du lige har spist indeholder transfedtsyrer.

Kunde: Men du sagde at der ikke var transfedtsyrer i jeres mad!

Ekspedient: Nej, dét var måske det som du spurgte om, men jeg svarede kun for burgerne og salaterne. Du skulle have lagt mærke til det undvigende svar!

  • more_vert
    • insert_linkKopier link
3
Jens Lund
24. april 2014 kl. 11:39

For en gang skyld helt enig med Jacob. Denne historie er mildest talt søgt. Apple har sagt at iOS og OSX ikke er ramt. Det er de stadigvæk ikke.

Men versioner af os på Airports er.

Denne artikel nærmer sig det meget useriøse

  • more_vert
    • insert_linkKopier link
5
Daniel Udsen
24. april 2014 kl. 12:28

</p>
<p>For en gang skyld helt enig med Jacob. Denne historie er mildest talt søgt. Apple har sagt at iOS og OSX ikke er ramt. Det er de stadigvæk ikke.

Var der nogle rene klient systemer der blev ramt af heartbleed, ja linux libssl blev opdateret men ingen af klientprogrammerne rørte de fejlbehæftede dele af koden så hverken rene desktop instalationer af linux eller android var påvirket.

Problemet her er at de af apple's produkter der faktisk konkurrerede i det ramte marked her ser ud til at have været ramt, selvom apple gik ud med en medelelse om at de ikke var påvirket baseret på produkter i en helt anden markedskategori.

  • more_vert
    • insert_linkKopier link
8
Casper Thomsen
24. april 2014 kl. 14:28

quote ingen af klientprogrammerne rørte de fejlbehæftede dele af koden så hverken rene desktop instalationer af linux eller android var påvirket.[/quote]

Jeg tror du mangler at kigge på https://github.com/Lekensteyn/pacemaker som udnytter Heartbleed mod OpenSSL klienter.

  • more_vert
    • insert_linkKopier link
2
David Rechnagel Udsen
24. april 2014 kl. 11:27

Ja, det er lidt ligesom at hvis sælgeren hos McDonald's siger at der ikke er noget galt med BigMac'en, og man så bestiller en cheeseburger, og finder ud af den ikke har ost og klager over at man blev lovet en burger uden problemer.

  • more_vert
    • insert_linkKopier link