Æblet blev alligevel ramt: Apple patcher for Heartbleed

Illustration: leowolfert/Bigstock
Trods virksomhedens tidligere meldinger viser det sig, at Apple alligevel blev ramt af Heartbleed-bristen. Indrømmelsen kommer sammen med rettelsen til de ramte AirPort-routere.

Apple har netop udgivet en firmwareopdatering til virksomhedens nyeste AirPort-routere, der skal lukke det omstridte Heartbleed-hul i OpenSSL. Det skriver Mashable.

Virksomheden havde ellers i følge Mashable tidligere meldt ud, at hverken iOS eller OSX har “inkorporeret den sårbare software” og at deres web-services desuden heller ikke var berørt af Heartbleed.

Men det gjaldt altså ikke for visse modeller af virksomhedens routere. De berørte modeller er de nyeste AirPort Extreme og Time Capsule-routere med 802.11ac, der blev udgivet i 2013.

Apple skriver i forbindelse med firmwareopdateringen, at fejlen i sjældne tilfælde ville kunne give en angriber adgang til informationer fra routernes proces-hukommelse.

Derfor anbefaler virksomheden altså nu alle brugere at opdatere deres routere med den nyeste 7.7.3-firmware.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob Damkjær

"Virksomheden havde ellers i følge Mashable tidligere meldt ud, at hverken iOS eller OSX har “inkorporeret den sårbare software” og at deres web-services desuden heller ikke var berørt af Heartbleed."

Det er også det der er fakta... Så hvorfor er det version2 benytter en måde at beskrive det på som implicere at det ER tilfældet at iOS Mac OS X og Apples webtjenester er påvirket at heartbleed når det IKKE ER tilfældet.

Skam jer version2 i slider hårdt på den sidste rest af troværdighed i har på redaktionelt plan, snart vil de bloggere der skriver for jer ikke længere ha lyst til at blive associeret med en udgivelse der har så lemfeldigt et forhold til fakta og oprigtig beskrivelse af fakta som i har.

Ud over jeres fakta ignorerande beskrivelse af hvad der er fakta så har version2 i denne uge valgt at undertrykke en Apple historie der faktisk kunne opfattes som positiv. Netop at Apple udvider deres Appleseed beta software program så folk uden en developer licens kan få adgang til beta versioner af Mac OS X... men det er sikkert ikke noget som folk med en interesse for software interessere sig for...

https://appleseed.apple.com/sp/betaprogram/

Noget der kunne ses som en ret stor ændring i hvordan Apple tester deres software...

  • 8
  • 20
David Rechnagel Udsen

Ja, det er lidt ligesom at hvis sælgeren hos McDonald's siger at der ikke er noget galt med BigMac'en, og man så bestiller en cheeseburger, og finder ud af den ikke har ost og klager over at man blev lovet en burger uden problemer.

  • 4
  • 7
Jens Lund

For en gang skyld helt enig med Jacob. Denne historie er mildest talt søgt. Apple har sagt at iOS og OSX ikke er ramt. Det er de stadigvæk ikke.

Men versioner af os på Airports er.

Denne artikel nærmer sig det meget useriøse

  • 8
  • 6
Uffe Seerup

Jeg tror at det artiklen (fra Mashable) påpeger er, at dét Apple tidligere har meldt ud måske var sandt ud fra et snævert perspektiv, men at de ikke fortalte hele sandheden.

Kunde: Er der transfedtsyrer i jeres mad?

Ekspedient: Der er ikke transfedtsyrer i vores burgere eller i vores salater

Kunde: Så vil jeg gerne have menu nr. 3.

Ekspidient: Ja, sågerne.

(Kunden får sin mad og spiser den)

Ekspedient: Ahem. Jeg fortalte at der ikke var transfedtsyrer i vores burgere eller i vores salater, men de pommes frites du lige har spist indeholder transfedtsyrer.

Kunde: Men du sagde at der ikke var transfedtsyrer i jeres mad!

Ekspedient: Nej, dét var måske det som du spurgte om, men jeg svarede kun for burgerne og salaterne. Du skulle have lagt mærke til det undvigende svar!

  • 23
  • 2
Daniel Udsen

For en gang skyld helt enig med Jacob. Denne historie er mildest talt søgt. Apple har sagt at iOS og OSX ikke er ramt. Det er de stadigvæk ikke.

Var der nogle rene klient systemer der blev ramt af heartbleed, ja linux libssl blev opdateret men ingen af klientprogrammerne rørte de fejlbehæftede dele af koden så hverken rene desktop instalationer af linux eller android var påvirket.

Problemet her er at de af apple's produkter der faktisk konkurrerede i det ramte marked her ser ud til at have været ramt, selvom apple gik ud med en medelelse om at de ikke var påvirket baseret på produkter i en helt anden markedskategori.

  • 6
  • 1
Adam Tulinius

Det her er under acceptabelt niveau.

"""Virksomheden havde ellers i følge Mashable tidligere meldt ud, at hverken iOS eller OSX har “inkorporeret den sårbare software” og at deres web-services desuden heller ikke var berørt af Heartbleed.

Men det gjaldt altså ikke for visse modeller af virksomhedens routere."""

Kører airport enhederne iOS eller OSX? Nej? Godt så.

Havde dette været forsiden på EB var de bleve tvunget til at lave et dementi på forsiden ved førstkomne lejlighed. Måske burde nogen melde jer til presseforbundet (eller hvem det nu er man klager til over at blive hængt ud i medierne uden grund)?

Denne artikel bør slettes og erstattes af en undskyldning, og så kan i supplere med en nyhed om at Apple har frigivet en opdatering til deres airport-enhder.

  • 5
  • 14
Bo Voigt

Popcorn?

Nej helt alvorligt, havde det været Microsoft der havde foretaget en sådan divergerende udmeldelse, ville stormen først have lagt sig i næste uge.
Men skroget skal vi lade være.
Et afbidt æble er et skrog.

  • 6
  • 3
Martin Wolsing

I visse kredse er det bare blevet smart at nedgøre alt hvad Apple gør samt kalde alle der ikke er enige i nedgørelsen for fanboys og religiøse fanatikere.

Og ja, der findes også lige så mange folk, der ukritisk elsker alt hvad Apple gør og kalder alle der ikke er enige for Apple haters.

Personligt foretrækker jeg dog usaglig kærlighed frem for usagligt indebrændt had, hvis jeg absolut skal vælge.

Artiklen her på V2 bærer efter min opfattelse desværre præg af en hoverende negativ tone, hvor skribenten ærinde først og fremmest er at udstille Apple.

Hvorfor ikke bare rapportere neutralt om at to af Apples routere er berørt af fejlen, så folk kan tage deres forholdsregler? Og så måske supplere med hvilke andre producenter/produkter der er berørt så man også der kan tage sine forholdsregler.

Det havde været meget mere informativt end at puste til det sædvanlige bål med for og imod Apple - for det tjener intet som helst formål på en side som V2, der slår sig på at være det professionelle IT-medie i Danmark. Gid det var sådan, for det mangler vi i den grad. Tilbage på sporet V2.

  • 2
  • 7
Jesper Kleis

Artiklen her på V2 bærer efter min opfattelse desværre præg af en hoverende negativ tone, hvor skribenten ærinde først og fremmest er at udstille Apple.


Ikke enig - umiddelbar virker det blot som en dårlig artikel, hvor der skal være en fed overskrift og nogle der indrømmer noget.

Jeg synes ikke der er noget hoverende eller andet. Men man kan håbe at V2 bestræber sig på at være faktuel og ikke have catchy titler.

  • 3
  • 0
Jakob Damkjær

Der er en forskel på konsekvenserne for at rette alt så hurtigt så muligt uden at tænke på konsekvenserne ved at autoopdatere og lave QC på produktet inden man sender rettelser ud.

Ja Google opdatere automatisk og ofte men hvis Apple gjorde det samme og det breakede et VPN login eller et webinterface så har Apple bare et større ansvar at leve op til end Google. Hvis Google faktisk nu lavede en løsning som der var meningsgivende dele af eksisterende virksomheder blev opdateret ( og ikke kun de dele der kan klare sig uden legacy Apps) til så ville de også skulle kunne garantere at deres produkt virker med en eksisterende infrastruktur og så er en politik der diktere "Update as som as fix is done damn the QC ppl to hell and fuck all customers solutions that break by the update" ikke holdbar...

Og når det er seriøse ting der kræver umiddelbar handling så leveres Apple også hurtig men de skal bare lige også ha krydset alle felter af hos QC inden de bare trykker på knappen og sender det afsted... Som Google ville gøre...

At Google så er nogen narhatte og udgiver deres Update notes med det samme kan sagtens opfattes som direkte sabotage forsøg ( ie at de i en vis tolkning er medelagtige hvis deres noter benyttes til at hacke andre systemer der benytter webkit..).

Men hey det er jo helt fair at gøre det... På samme måde som navkepillende medieliderlige sikkerhedsfolk altid udgiver detaljer om sikkerhedhuller de har fundet 3 dage inden patchen kommer for så kan linkbait centralerne skrive det op som et superkritisk sikkerhedshul der endnu ikke er blevet patchet...

Når man har set det cirkus et par gange uden man er blevet pwnet så taber den "advarselsfunktion" som den slags udtalelser lidt sin relevans...

At der nok så også er lidt sure rønnebær blandet ind i den her specifikke historie da hende der skriver er en tidligere appleansat...

Hvis hun nu skrev lidt om hvordan hun havde fundet en magisk måde at lave QC / QA checks på så de tog nul tid ville det bære lidt mere gravitation det hun skriver... Eller hvis hun kunne pointere at Googles offentliggørelse havde medført aktive exploits der registrerede på antivirus honeypot systemerne... Ville det også runge lidt mindre hult...

Men det har hun ikke så zero news... Google sender ud uden at checke - Apple samler lidt til bunke og checker det inden de udsender fikset... Det er der konsekvenser ved og det er kun fordi Google ikke sælger noget de kan tillade sig at sende utestede updates ud uden at blive smidt på porten...

Samtidig er den måde Google laver deres updates en permanent admin privilegeret service med en åben port i firewallen, så at ha den installeret på sit system er også en sikkerhedsrisiko... So Pick your poison... I Pick the one that dont put my system in a State of autopwnage if the Google Update service was compromised. (Dvs at lægge et rootkit ind i på Update lib på Googles servere vil medføre autoinstalation på alle computere med chrome eller googleearth på med admin privilegier).

  • 2
  • 2
Log ind eller Opret konto for at kommentere