Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

FYI: heise Security - 23.03.09 - Pwn2own-Fazit: "Mac hacken macht Spaß, Windows ist harte Arbeit"

0 views
Skip to first unread message

Michael Domhardt

unread,
Mar 24, 2009, 7:26:19 AM3/24/09
to
Zitat:

"[...]

Bei einem Vergleich der von ihm demonstrierten Sicherheitslücken siedelt
er die Demo mit Internet Explorer 8 auf Windows 7 ganz oben an: Es sei
"sehr, sehr schwierig" gewesen, den Fehler verlässlich auszunutzen und
Address Space Layout Randomization (ASLR) und Data Execution Prevention
(DEP) zu umgehen. Weil Windows es so schwer mache, Sicherheitslücken
gezielt auszunutzen, habe er die Firefox-Lücke auch lieber auf dem Mac
vorgeführt, obwohl der Fehler auch bei der Windows-Version auftritt. Bei
Mac OS X gebe es kein ASLR oder DEP. Deshalb könne man den Code einfach
in den Speicher einschleusen, ausführen und es funktioniert. Er ist sich
da mit den Sicherheitsexperten Charlie Miller und Dino Dai Zovi einig:
"Das Schreiben von Exploits auf dem Mac macht Spaß. Auf Windows ist es
harte Arbeit."

[...]"

*Quelle*
http://www.heise.de/security/Pwn2own-Fazit-Mac-hacken-macht-Spass-Windows-ist-harte-Arbeit--/news/meldung/135005

Hannes Gnad

unread,
Mar 24, 2009, 10:45:23 AM3/24/09
to
Michael Domhardt <nofear...@web.de> wrote:

Hallo.

> Bei einem Vergleich der von ihm demonstrierten Sicherheitslücken siedelt
> er die Demo mit Internet Explorer 8 auf Windows 7 ganz oben an: Es sei
> "sehr, sehr schwierig" gewesen, den Fehler verlässlich auszunutzen und
> Address Space Layout Randomization (ASLR) und Data Execution Prevention
> (DEP) zu umgehen. Weil Windows es so schwer mache, Sicherheitslücken
> gezielt auszunutzen, habe er die Firefox-Lücke auch lieber auf dem Mac
> vorgeführt, obwohl der Fehler auch bei der Windows-Version auftritt. Bei
> Mac OS X gebe es kein ASLR oder DEP. Deshalb könne man den Code einfach
> in den Speicher einschleusen, ausführen und es funktioniert. Er ist sich
> da mit den Sicherheitsexperten Charlie Miller und Dino Dai Zovi einig:
> "Das Schreiben von Exploits auf dem Mac macht Spaß. Auf Windows ist es
> harte Arbeit."

Meister Zovi hat deshalb schon vor fast einem Jahr seinen Wunsch-
zettel für 10.6 abgegeben:

http://blogs.zdnet.com/security/?p=1325

Mal schauen, was Apple davon umsetzen wird - Noses?

Im Web findet sich:

http://www.appleinsider.com/articles/09/01/16/road_to_mac_os_x_snow_leopard_64_bit_security.html


--
Beste Gruesse, Hannes Gnad h.g...@apfelwerk.de
Apple Distinguished Professional http://www.apfelwerk.de/
* Mac OS X 10.5 Leopard - seit 26. Oktober 2007 - http://www.apple.de/ *

0 new messages