Gaten worden niet helemaal gedicht. De "1024 folders limit" is al gekend sinds de beta van 10.0, maar nog steeds niet gefixed.
Volgens deze Apple berichtgeving:
https://support.apple.com/en-us/HT205637
Is er geen wolkje aan de lucht.
Alleen kan je nog steeds malware verbergen doordat geen enkel virusscanner dieper dan 1024 folders kan kijken. Dat zou niet zo erg zijn, moest je er ook niet aankunnen. Zolang je de Finder niet gebruikt kan je er echter prima aan...
Dit zou kunnen misbruikt worden door bij een dmg met een programma, ongezien malware mee te leveren.
cyrano om 17:26, 27-08-2016Het moet allemaal snel:Gaten worden niet helemaal gedicht. De "1024 folders limit" is al gekend sinds de beta van 10.0, maar nog steeds niet gefixed.Volgens deze Apple berichtgeving:https://support.apple.com/en-us/HT205637Is er geen wolkje aan de lucht.Alleen kan je nog steeds malware verbergen doordat geen enkel virusscanner dieper dan 1024 folders kan kijken. Dat zou niet zo erg zijn, moest je er ook niet aankunnen. Zolang je de Finder niet gebruikt kan je er echter prima aan...Dit zou kunnen misbruikt worden door bij een dmg met een programma, ongezien malware mee te leveren.
Van wie heb je dit?Ben je familie van Snowden?
cyrano om 17:26, 27-08-2016Gaten worden niet helemaal gedicht. De "1024 folders limit" is al gekend sinds de beta van 10.0, maar nog steeds niet gefixed....Dit zou kunnen misbruikt worden door bij een dmg met een programma, ongezien malware mee te leveren.
Cyrano, het is echt oprechte interesse: kun je nou bij dit soort beweringen niet even een link, een bron, of wat achtergrond meegeven? Ik kan hier echt helemaal niets relevants over vinden, dus help me. Daar worden we allemaal wijzer van.
(Bewerkt door boiing om 0:01, 28-08-2016)
Bekijk nu dit eens:
http://arstechnica.com/security/2016/01/high-severity-bug-in-openssl-allows-attackers-to-decrypt-https-traffic/
Dit is hoogst technisch, en ik streel ook maar langs het begrijpen ervan.Soit, ik ga het niet overtikken dus.
Wil je CVE, you've got it -denk ik- CVE-2016-0701
Als ik het juist begrijp en in mensentaal bedoelt Cyrano - denk ik -dat geen enkele virusscanner, ook niet die van de appstore meer kan scannen dan 1024 bytes/folder en dat ze bij Apple daar dus machteloos tegen over staan mochten er truukjes in die richting worden gebruikt om malware in de appstore te verbergen.
En dan dit:
http://unix.stackexchange.com/questions/11946/how-big-is-the-pipe-buffer
(Bewerkt door HEXDIY om 3:16, 28-08-2016)
Fijn dat je nog even uitlegt wat Cyrano bedoelt, zover was ik ook. Nonsens wat mij betreft maar ik laat me (nog steeds) graag van het tegendeel overtuigen.
(edit: spelling)
(Bewerkt door boiing om 10:54, 28-08-2016)
Of je blijft hier allerlei dingen zonder achtergrond en/of links poneren en je zal door de meesten van ons niet serieus genomen worden.
Of je zet de achtergronden en/of links er wel bij, en misschien krijgen we dan ook nog een zinnige discussie.
Ik hoop natuurlijk op jet laatste.
Dat heb ik uiteraard geprobeerd, en serieus moeite voor gedaan. Maar het is me niet gelukt. Cyrano weet wat hij bedoelt dus wat is er makkelijk voor hem om even een link of bron te geven, zeker als daar netjes om wordt gevraagd. En bij mijn weten heeft Einstein z'n beweringen altijd keurig onderbouwd.
Ha Waltervandemeer! Ik verwachtte je al
Cyrano beschermt zijn bronnen en hoeft die ook helemaal niet te noemen. Dat er daardoor mensen zijn die hem niet geloven is ook geen probleem. Die mensen moeten dan zelf onderzoek doen waarbij de gedane beweringen kunnen worden gestaafd of verworpen.
Niet iedereen zal daar zomaar toe in staat zijn. Je hebt wel zekere kennis nodig en zult een goede inspanning moeten leveren. Dus, boiing, wanneer het niet gelijk lukt moet je niet wanhopen en er het bijltje bij neergooien. Herpak jezelf en probeer het gewoon nog een keer.
[Einstein heeft zijn beweringen niet zo direct onderbouwd maar meer vanuit een aantal aannames een consistent geheel weten te maken. Door anderen zijn later veel van de daarmee samenhangende consequenties bevestigd.]
Verder is alles hier gezegd, wat mij betreft kan het op slot!
Hij ging daarin puur op zijn eigen geloof af. Hij geloofde ook nooit in de kansberekening van de Quantum theorie omdat volgens hem "God niet dobbelt". En toch is dat de best bewezen theorie ooit.
Dus je kunt wel wat roepen, als je de feiten negeert, zit je altijd fout. Wat deze laatste opmerking betreft: wie de schoen past, trekke hem aan.
(Bewerkt door MacMiep om 1:40, 29-08-2016)
@MacMiep, heb je wellicht een exacte achtergrond? Als aanvulling; Einstein - Podolski- Rosen (EPR - 1935) waarbij hij de plank volledig missloeg in een poging quantum theorie te falsificeren.
En dat extrapoleren van jou is gevaarlijk. Als je dat al niet weet, is er vast veel meer wat je niet weet, zoals al je uitlatingen hier!
Volledig van de pot gerukt. Maar wel duidelijk een manier om het draadje hier te laten ontsporen, voor zover het al niet ontspoort was. En er zijn mensen voor wie deze ontsporingen zuurstof zijn; ze leven erop.
boiing om 19:23, 27-08-2016Citaatcyrano om 17:26, 27-08-2016Gaten worden niet helemaal gedicht. De "1024 folders limit" is al gekend sinds de beta van 10.0, maar nog steeds niet gefixed....Dit zou kunnen misbruikt worden door bij een dmg met een programma, ongezien malware mee te leveren.Cyrano, het is echt oprechte interesse: kun je nou bij dit soort beweringen niet even een link, een bron, of wat achtergrond meegeven? Ik kan hier echt helemaal niets relevants over vinden, dus help me. Daar worden we allemaal wijzer van.
Ik ken het zelf al vele jaren, van in OS7 of OS8 tijden. Een test hiervoor staat meestal op de USB key die in m'n zak zit.
Je kan het makkelijk zelf uitproberen; Maak een map "test". In die map maak je weer een map "test" (of een andere naam, maakt niet uit). Maak zo 1024 niveau's en de Finder kan die map niet meer openen.
Een klassieke grap daarmee is dat je in de laatste folder een tekst bestandje plaatst; of een gif oid. En vervolgens zip je die reeks folders. Dat kan prima op een recente Windows of Linux. Maar de Mac kan dat niet unzippen. Op bepaalde versies van OSX stopt de uitpak software niet. Resultaat: Mac start niet meer, vanwege schijf vol.
Het kwam recent ergens voorbij in een discussie. Ik zal eens kijken of ik een linkje naar een artikel kan vinden...
hier, voor de technisch geïnteresseerden:
https://cxsecurity.com/issue/WLB-2015100149
Remote exploitable, zeer oud en zeer makkelijk. Al drie keer gefixt, maar nog steeds aanwezig.
HEXDIY om 2:17, 28-08-2016GeorgeM heeft gelijk: er zit vrij recent een limiet op 1024 bytes/folder.Bekijk nu dit eens:http://arstechnica.com/security/2016/01/high-severity-bug-in-openssl-allows-attackers-to-decrypt-https-traffic/Dit is hoogst technisch, en ik streel ook maar langs het begrijpen ervan.Soit, ik ga het niet overtikken dus.Wil je CVE, you've got it -denk ik- CVE-2016-0701Als ik het juist begrijp en in mensentaal bedoelt Cyrano - denk ik -dat geen enkele virusscanner, ook niet die van de appstore meer kan scannen dan 1024 bytes/folder en dat ze bij Apple daar dus machteloos tegen over staan mochten er truukjes in die richting worden gebruikt om malware in de appstore te verbergen. En dan dit:http://unix.stackexchange.com/questions/11946/how-big-is-the-pipe-buffer(Bewerkt door HEXDIY om 3:16, 28-08-2016)
Sorry, nee.
Het zijn 1024 geneste folders. Daar kan de Finder/Terminal/OSX niet meer aan. En een virusscanner dus ook niet, alhoewel HFS+ zelf er geen probleem mee heeft.
De Finder heeft altijd problemen gehad met diep geneste folder structuren én met folders met enkele tienduizenden bestanden (of meer) in. Als je daar iets moet verplaatsen, of kopiëren, dan zal je merken dat het in 't beste geval pokke traag wordt en in 't slechtste geval de Finder zwaar crasht.
Daar zitten waarschijnlijk ook wel enkele exploits in. Maar niemand wil die kant uit, omdat het zo veel tijd kost. En alles moet snel, tegenwoordig.
En dat gat in OpenSSL is pretty serious, maar Apple gebruikt geen OpenSSL meer sinds Lion. En oudere versies, zoals die van Snow Leopard, zijn niet kwetsbaar, dacht ik.
(Bewerkt door cyrano om 16:08, 29-08-2016)
Flix om 14:32, 29-08-2016Willen we de discussies die we hier, op MF, voeren vergelijken met het proces waarmee Einstein tot zijn hypotheses kwam?!
@boiing, bovenstaande van cyrano al zelf geprobeerd nu? Kun je dit bevestigen of juist ontkrachten?
Probeer eens een inhoudelijke discussie over Apple onderwerpen, waarbij je het onderwerp ook eens vanuit het standpunt van je "tegenstander" probeert te bekijken.
@Cyrano: Hartelijk dank voor het (eindelijk) geven van een link naar je laatste bewering. Het gaat dus om CVE-2015-7039, als je doorklikt is te zien dat deze speelt before iOS 9.2 en before OSX 10.11.2. In deze Security Update (onder 'libc') zie je ook dat Apple dit wel degelijk gefixed heeft. Verder is dit een 'theoretische' bug, er zijn geen virussen/malware bekend die deze bug ooit hebben misbruikt.
Conclusie: - Apple is wel degelijk serieus bezig om deze vulnerabilities te fixen.- Het is gefixt.
Ik hou het voor gezien in dit draadje, genoeg geleerd. Vooral over mensen
boiing om 21:44, 29-08-2016@WaltervandeMeer: Ja, dat kan ik ontkrachten, ook zonder 1024 mapjes in de Finder te gaan maken. @Cyrano: Hartelijk dank voor het (eindelijk) geven van een link naar je laatste bewering. Het gaat dus om CVE-2015-7039, als je doorklikt is te zien dat deze speelt before iOS 9.2 en before OSX 10.11.2. In deze Security Update (onder 'libc') zie je ook dat Apple dit wel degelijk gefixed heeft. Verder is dit een 'theoretische' bug, er zijn geen virussen/malware bekend die deze bug ooit hebben misbruikt.Conclusie: - Apple is wel degelijk serieus bezig om deze vulnerabilities te fixen.- Het is gefixt.Ik hou het voor gezien in dit draadje, genoeg geleerd. Vooral over mensen
Zucht...
Je onderzoekt NIKS, gelooft klakkeloos wat Apple beweert.
Ik weet beter. Dit is wat op de FD security list op 26 augustus gepost is. Maar ja, dat zal dan wel weer te ingewikkeld zijn, zeker?
------------------------------------------------------------------------------------------Apple libc incomplete fix of Security Update for OS X El Capitan 10.11.2Credit: Maksymilian Arciemowicz from CXSECURITY.COMURL: https://cxsecurity.com/issue/WLB-2016080232--------------------------------------------------------------------------------
Apple tried to fix security issue in file system (FTS) libc implementationbut doesn't patch it completely. Let's back to the security advisory
https://support.apple.com/en-us/HT205637----------------------------------------libcAvailable for: OS X El Capitan v10.11 and v10.11.1Impact: Processing a maliciously crafted package may lead to arbitrary codeexecutionDescription: Multiple buffer overflows existed in the C standard library.These issues were addressed through improved bounds checking.CVE-IDCVE-2015-7038CVE-2015-7039 : Maksymilian Arciemowicz (CXSECURITY.COM)----------------------------------------
it's only one part of reported weaknesses what should be fix by Apple. Theyfixed multiple buffer overflow but not all out of memory read. Impropersecurity implementation of file system may lead to a few kinds of attacks
--------------------------------------------------------------------------------1. AV Tools and file system deep directoryThe first weakness what Apple should repair is ability of hiding maliciouscode in external/internal media drive or DMG package. Many AV tools willskip files located in directory deeper then 1024 levels, so it could beused to hide malware by attacker during classic AV scanning. I contactedwith one of vendors and they indicate Apple as responsible for repair thisbug. To show this issue in practice, you can compare the two DMG files. Oneis with content of exploits from metasploit in directory located in 1024level of directory tree
DMG mounted and threats detected by AVG, ESET, Norton AV during folderscanning modehttps://cxsecurity.com/exploits/mac10116expl/10116metaExploits.dmg
The same content but in deep file hierarchy 1024 directories. Classicdirectory scanning by AV tool couldn't detect the threats.https://cxsecurity.com/exploits/mac10116expl/10116hideContents.dmg
--------------------------------------------------------------------------------2. Out of memory reading in libcThe next issue recognised in the latest MacOSX is out-of-bounds read. Appletried fix all buffer overflows but it looks like that's not all. In Applecode there is still a few weak points of memory management. For example'ls' and 'find' command and Apple's libc. To easier explain this weakness(CWE-125) let's use this special crafted DMG with deep file system.
$ wget https://cxsecurity.com/exploits/mac10116expl/10116outofread.dmg...$ hdiutil attach 10116outofread.dmg...$ valgrind ls -laR /Volumes/PoC1_CXSECURITY >>/dev/null...==5687== Invalid read of size 1==5687== at 0x1000116BF: strlen (in/usr/local/Cellar/valgrind/3.11.0/lib/valgrind/vgpreload_memcheck-amd64-darwin.so)==5687== by 0x100323A4B: __vfprintf (in/usr/lib/system/libsystem_c.dylib)==5687== by 0x10034C6C0: __v2printf (in/usr/lib/system/libsystem_c.dylib)==5687== by 0x100322381: vfprintf_l (in/usr/lib/system/libsystem_c.dylib)==5687== by 0x10032021B: printf (in /usr/lib/system/libsystem_c.dylib)==5687== by 0x100001C4E: ??? (in /bin/ls)==5687== by 0x100001A6F: ??? (in /bin/ls)==5687== by 0x1002825AC: start (in /usr/lib/system/libdyld.dylib)==5687== by 0x2: ???==5687== by 0x104809B02: ???==5687== by 0x104809B05: ???==5687== by 0x104809B0A: ???==5687== Address 0x100b977f0 is 0 bytes inside a block of size 1,537 free'd==5687== at 0x100010920: realloc (in/usr/local/Cellar/valgrind/3.11.0/lib/valgrind/vgpreload_memcheck-amd64-darwin.so)==5687== by 0x1002E1B06: fts_build (in /usr/lib/system/libsystem_c.dylib)==5687== by 0x1002E2106: fts_children$INODE64 (in/usr/lib/system/libsystem_c.dylib)==5687== by 0x100001CB0: ??? (in /bin/ls)==5687== by 0x100001A6F: ??? (in /bin/ls)==5687== by 0x1002825AC: start (in /usr/lib/system/libdyld.dylib)==5687== by 0x2: ???==5687== by 0x104809B02: ???==5687== by 0x104809B05: ???==5687== by 0x104809B0A: ???==5687== Block was alloc'd at==5687== at 0x100010920: realloc (in/usr/local/Cellar/valgrind/3.11.0/lib/valgrind/vgpreload_memcheck-amd64-darwin.so)==5687== by 0x1002E1B06: fts_build (in /usr/lib/system/libsystem_c.dylib)==5687== by 0x1002E2106: fts_children$INODE64 (in/usr/lib/system/libsystem_c.dylib)==5687== by 0x100001CB0: ??? (in /bin/ls)==5687== by 0x100001A6F: ??? (in /bin/ls)==5687== by 0x1002825AC: start (in /usr/lib/system/libdyld.dylib)==5687== by 0x2: ???==5687== by 0x104809B02: ???==5687== by 0x104809B05: ???==5687== by 0x104809B0A: ???==5687==...==5687== Invalid read of size 1==5687== at 0x1000126C1: _platform_memmove$VARIANT$Ivybridge (in/usr/local/Cellar/valgrind/3.11.0/lib/valgrind/vgpreload_memcheck-amd64-darwin.so)==5687== by 0x10031BEFC: __sfvwrite (in/usr/lib/system/libsystem_c.dylib)==5687== by 0x100326652: __vfprintf (in/usr/lib/system/libsystem_c.dylib)==5687== by 0x10034C6C0: __v2printf (in/usr/lib/system/libsystem_c.dylib)==5687== by 0x100322381: vfprintf_l (in/usr/lib/system/libsystem_c.dylib)==5687== by 0x10032021B: printf (in /usr/lib/system/libsystem_c.dylib)==5687== by 0x100001C4E: ??? (in /bin/ls)==5687== by 0x100001A6F: ??? (in /bin/ls)==5687== by 0x1002825AC: start (in /usr/lib/system/libdyld.dylib)==5687== by 0x2: ???
--------------------------------------------------------------------------------References:https://cxsecurity.com/issue/WLB-2015120089https://cxsecurity.com/exploits/mac10116expl/10116metaExploits.dmghttps://cxsecurity.com/exploits/mac10116expl/10116hideContents.dmghttps://cxsecurity.com/exploits/mac10116expl/10116outofread.dmghttps://support.apple.com/en-us/HT205637https://support.apple.com/en-us/HT205635https://support.apple.com/en-us/HT205641https://support.apple.com/en-us/HT205640https://cxsecurity.com/issue/WLB-2015100149https://cxsecurity.com/https://cert.cx/
--------------------------------------------------------------------------------Best Regards,Maksymilian Arciemowicz ( https://cert.cx/ )https://cxsecurity.com - Independent Information--------------------------------------------------------------------------------