Het lijkt een beetje op Herman Finkers:
"Volgt nu een waarschuwing voor de scheepvaart*: Pas op!"  

(* = Vroeger werden waarschuwingen voor de scheepvaart op de radio uitgezonden.)

Flix om 15:45, 19-07-2016
Van de inhoud ook. Er wordt een boel paniek geschopt, met termen gegooid, maar de vertaalslag naar de Mac gebruiker wordt niet gemaakt.

Het lijkt een beetje op Herman Finkers:
"Volgt nu een waarschuwing voor de scheepvaart*: Pas op!"  

(* = Vroeger werden waarschuwingen voor de scheepvaart op de radio uitgezonden.)

Het helpt natuurlijk wel als je vermeldt wat je niet snapt...

Als 't over het laatste gaat:

De GPU is de grafische processor die normaal je scherm aanstuurt. Die is razendsnel in bepaalde bewerkingen. Sommige van die bewerkingen helpen bij het kraken van paswoorden.

Gewone programma's maken geen gebruik van de GPU. Die sturen commando's naar de driver en de driver stuurt die naar 't scherm. Video bewerking werkt wel eens direct met de GPU.

Als een paswoord kraker direct met de GPU kan praten, kan die veel sneller de paswoorden kraken. Hoeveel sneller kan ik niet testen, want de nvidia 9400 van m'n oude Mac staat niet in het lijstje van ondersteunde GPU's.

Ik had gehoopt hier mensen met kennis te vinden die wel zo'n moderne GPU hadden en het konden testen. Maar die blijken afwezig...

DomP om 17:34, 19-07-2016
hou het gewoon bij officiele software en gebruik je logisch verstand voor je op een link klikt of iets opent...

Altijd goede raad. Alleen gaat die in dit geval niet echt iets voorkomen.

 Sommige van de "experts" in dit draadje geven zelf aan dat ze op dubieuze manieren aan hun programmatjes komen.

Ik zou wel graag weten waar je dat uit afleidt. Tenzij je natuurlijk MacUpdate ook al als dubieuze bron gaat aanzien. Dan kan je alleen braaf iets uit de appstore downloaden, dan ben je waarschijnlijk veilig. Maar dan heb je ook geen Photoshop meer, of geen Filemaker, of...

Flix om 15:45, 19-07-2016
Van de inhoud ook. Er wordt een boel paniek geschopt, met termen gegooid, maar de vertaalslag naar de Mac gebruiker wordt niet gemaakt.

Het lijkt een beetje op Herman Finkers:
"Volgt nu een waarschuwing voor de scheepvaart*: Pas op!"  

(* = Vroeger werden waarschuwingen voor de scheepvaart op de radio uitgezonden.)

Ik vind het een beetje sneu dat hier zo snel met de term "troll" wordt gesmeten, of dat posters die iets ter discussie gooien met de vinger worden gewezen. Termen en vermoedens worden hier enkel gepost omdat we daar allemaal wensen van te leren, samen.
Niet omdat het absolute wetenschap is.

Zoals ik reeds heb gepost.
MF is een discussieforum, niet? Posts zijn allerminst dogma's, laat ons wél wezen.
Vermoedens, ja. Uitnodigingen om mee te leren, ja. Voorstellen tot verfijning van zoektermen, ja.
Mogelijk nuttige links, ja, dat hoop ik tenmiste.
En anders kruip ik in mijn hok en surf ik zelf wel...

Sorry, dit moest me even van het hart.

Flix om 10:56, 19-07-2016
Nou, dan laten we dit draadje toch lekker voortkabbelen; niemand begrijpt er toch meer wat van.
Kan iedereen die in paniek is, hier zijn stress dumpen.

Citaat

HEXDIY om 3:38, 19-07-2016

Uit een bron die ik anoniem wens te laten...

Nou, nou, het wordt wel spannend, die beveiliging bij jou. Gaat de Koning zich er ook al mee bemoeien...?

Je zit er weer bovenop hee
Figure of speech...

Nee, ik wil hier mijn naaste contacten niet te grabbel gooien, trouwens.
Welke koning denk je trouwens? Heb je mijn IP?

Sorry for the off-topic, folks!

DomP om 17:34, 19-07-2016
hou het gewoon bij officiele software en gebruik je logisch verstand voor je op een link klikt of iets opent...  Sommige van de "experts" in dit draadje geven zelf aan dat ze op dubieuze manieren aan hun programmatjes komen.

Dubieus? Laat me hier even een beleefd recht op antwoord:

De beste manier om aan legitte software te geraken is nog steeds vers van bij de Developer.
Vaak gaat het om soft die niet eens op de Appstore te verkrijgen is, vaak ook érg professionele soft.

Vele devs trekken zich terug uit de Appstore, of doen ze niet de (vaak absurde) moeite om een Apple certificaat te verkrijgen:

Enkele voorbeelden:

-Little Snitch, een onschatbaar Network Monitor Tool en omgekeerde firewall voor OSX:
https://www.obdev.at/products/littlesnitch/index.html

- Q-Lab, een onwaarschijnlijk sterke AV media beheerder voor de Mac, industriestandaard voor de podiumkunsten:
https://figure53.com/qlab/download/

- Audacity, een prachtig multi platform DAW pakket, terug van weggeweest, maar going strong:
http://www.audacityteam.org/download/mac/

- Reaper, een ongelofelijk multi-platform DAW pakket dat bijna zoveel aankan als ProTools:
http://www.reaper.fm/download.php

- Mixxx, het enige multi-platform open source programma dat in staat is om te werken met time code platen ( vinyl) of CDs (CDJ), en dat gemixt ook nog, Traktor, Serato, you name it:
http://www.mixxx.org/

- D::Light, een prachtig lichtstuurprogramma gebaseerd op RPN notatie:
http://www.getdlight.com/index.php/en/

- Chamsys MagicQ, het software broertje voor de grotere Chamsys hardware DMX lichtcomputers:
https://secure.chamsys.co.uk/download

- Isadora: krachtig programma/ GUI om verschillende Apple apps met mekaar te doen samenwerken; voor de specialisten:
http://troikatronix.com/download/isadora-download/

- Max MSP:  idem als hierboven; deze is wel betalend en zeker voor specialisten!
https://cycling74.com/downloads/

- Da Vinci Resolve, een prachtig video editing en shading pakket dat de kroon van Avid weldra gaan afsteken (Avid gaat trouwens weldra failliet):
https://www.blackmagicdesign.com/products/davinciresolve

- Libre Office, open source tegenhanger van Microsoft Office en iWork:
https://nl.libreoffice.org/download/libreoffice-fris/

- Google Chrome: welbekend.
https://support.google.com/chrome/answer/7026064?hl=en&rd=1

- Mozilla Firefox: welbekend.
https://www.mozilla.org/nl/firefox/new/

Zo kan ik nog wel even doorgaan. Zit daar illegale soft tussen? Nee.
Zit daar een Appstore product tussen? Nee.
Kan ik daar de volledige loopbaan van mijn Mac mee verzekeren? Wellicht.

Astu...

- een database, maar kijk hier:
http://apple.stackexchange.com/questions/104446/free-mac-database-software-similar-to-filemaker

- een email client, mogelijk zoiets:
http://thesweetsetup.com/apps/favorite-email-client-os-x/

iCal zit bij het OS.

Nog wensen los van het gebruikelijke OSX aanbod?

(Bewerkt door HEXDIY om 4:27, 20-07-2016)

http://www.forbes.com/sites/thomasbrewster/2016/07/19/apple-iphone-ios-9-vulnerabilities-like-stagefright/#7ac50ee73947

iOS 9.3.3 is al beveiligd, al vertelt Apple ons niet hoe of wat. We hebben er dus het raden naar.

Deze onderzoeker testte dit op iOS, maar het zou erger zijn voor OSX, omdat er geen zandbak is die alles gescheiden houdt. Was de security update van gisteren hier een patch voor?

Enfin, voor de wat meer technisch geïnteresseerden, als die er zijn, het origineel van Cisco/Talos, want dat geeft Forbes er niet bij:

http://blog.talosintel.com/2016/07/apple-image-rce.html

Vier of vijf remote exploitable gaten in één keer die mijn vrees bevestigen dat een cli-only export commando een ramp is. Je houdt de modale gebruiker in het ongewisse, en laat malware toe al je paswoorden te pikken.

En geen woord van Apple of deze gaten gedicht zijn in OSX...

HEXDIY om 4:25, 20-07-2016
O ja, iTunes.
Los van de store functies en enkel over muziek, wat denk je van:
Lyrik Lagu?
http://liriklagump4.blogspot.be/
Indonesisch wellicht, maar legaal en muziek te over...

(Bewerkt door HEXDIY om 4:27, 20-07-2016)

In de rest kan ik inkomen...

Maar waar je hiermee naartoe wil is me eerder duister  

About the security content of OS X El Capitan v10.11.6 and Security Update 2016-004: https://support.apple.com/en-us/HT206903

Tja...

(Bewerkt door rt om 13:13, 20-07-2016)

Die pagina was er gisteren, toen ik bezig was hiermee, nog niet. Ik heb 'm ondertussen ook via mail. Maar 't is nog steeds geen info. Zo zijn er geen links naar de originele research, wat bij alle andere OS makers wel is. En zoeken op het CERT nummer is niet altijd even succesvol.

De laatste, gepost op 18(!) juli, eergisteren:
http://lists.apple.com/archives/security-announce/2016/Jul/msg00000.html

werd dus ook door gegeven naar:
https://support.apple.com/en-us/HT201222

en daar vind je dus uiteindelijk deze:
https://support.apple.com/en-us/HT206903

In de laatste Security Update beschrijving geeft Apple toevallig wel een link naar de Talos CVE's in de door jou gemelde 19-juli Talos blog:
http://www.talosintelligence.com/vulnerability-reports/
Klik op Patched Vulnerability Reports en daar staan de links.
Kan je alle uitgebreide beschrijvingen en code, assembler en exception dumps zien, plus de proof of concepts.
Ik heb geen idee waarom er geen links naar de CVE beschrijvingen van de anderen zijn.

Zie trouwens dat dat Talos blog blijkbaar heel netjes een dag _na_ de updates gepost is. Moet je als je dit soort info leest wel rekening mee houden.

Voor mij is de informatie die Apple zelf geeft meer dan genoeg: dit is het probleem en dat hebben we er aan gedaan. Kort en bondig.
Fijn dat het CVE id erbij staat voor cross referentie. Reuze interessant als er ook nog een link zoals die naar Talos bij staat, kan je de exploit volgen.
Maar wat kan ik er verder mee? Net zo veel of weinig als aan de diaree van meldingen in Console.app.
(Het wordt een heel ander verhaal als alles wat de Mac OS maakt, open source zou zijn.)

YMMV

cyrano om 12:20, 20-07-2016

Citaat

HEXDIY om 4:25, 20-07-2016
O ja, iTunes.
Los van de store functies en enkel over muziek, wat denk je van:
Lyrik Lagu?
http://liriklagump4.blogspot.be/
Indonesisch wellicht, maar legaal en muziek te over...

(Bewerkt door HEXDIY om 4:27, 20-07-2016)

In de rest kan ik inkomen...

Maar waar je hiermee naartoe wil is me eerder duister

Lirik Lagu is een music streaming service en downloadsite waar ik met mijn nederige 10.6.8 nog wél ingeraak.
Zoals je wellicht weet ligt Spotify voor Mac OS 10.6.8 dra op zijn gat.
Beetje tricky, Lirik Lagu, ik moet meestal 2 adware vensters wegklikken.
Oppassen met je klikgedrag, dus.

Lirik is blijkbaar een nog vrij duistere ( of slecht geïndexeerde) Google/ Android (!) music streaming service.
Op de Play Store (!).
Lirik Lagu MP4 laat me er blijkbaar via OSX wél in. Zéér merkwaardig.
Bij gebrek aan iTunes alternatief, voor mijn oefening dus.

Wat ik mij in deze test vooropgesteld had:
een verouderd Mac OSX systeem zonder enige hulp van de Appstore opzetten tot een zéér werkbare en legale computer, volledig met erg goedkope of gratis soft.
Dreigroschenoper, Mac OSX.

Bij deze vind ik de test redelijk geslaagd.

Commentaar is natuurlijk welkom...

O, ja Lirik lijkt vrij gefragmenteerd. Mijn favorieten zitten op:

http://lirikcar.info/

Hoe ik een Playstore Google Lirik streaming service aankan op een Macje is me hierbij wel een raadsel, maar ik zit er wél naar te luisteren.

(Bewerkt door HEXDIY om 7:35, 21-07-2016)

Maar WTF, ik dacht dat dit een Android app was?
Wat doet dat op mijn Macje?

Je hoort mij niet klagen hoor...

http://lirikcar.info/wav_davids_bowie.html

Tot morgen.

rt om 23:59, 20-07-2016
@cyrano: Je zou dit in de gaten kunnen houden:
http://lists.apple.com/archives/security-announce

De laatste, gepost op 18(!) juli, eergisteren:
http://lists.apple.com/archives/security-announce/2016/Jul/msg00000.html

werd dus ook door gegeven naar:
https://support.apple.com/en-us/HT201222

en daar vind je dus uiteindelijk deze:
https://support.apple.com/en-us/HT206903

In de laatste Security Update beschrijving geeft Apple toevallig wel een link naar de Talos CVE's in de door jou gemelde 19-juli Talos blog:
http://www.talosintelligence.com/vulnerability-reports/
Klik op Patched Vulnerability Reports en daar staan de links.
Kan je alle uitgebreide beschrijvingen en code, assembler en exception dumps zien, plus de proof of concepts.
Ik heb geen idee waarom er geen links naar de CVE beschrijvingen van de anderen zijn.

Dat is het hele probleem. Er is geen enkele consistentie. Ik zou heel tevreden zijn met 1 security pagina. Maar soms post men het wel, dan weer niet. Soms op een andere plaats. En heel vaak geeft de link uit de appstore alleen een pagina die vermeldt dat Apple geen info geeft over security updates.

Neem nu de full disclosure list. Ooit postte de Apple devs daar, met de nodige technische details. En dus ook mogelijkheid dat er reactie kwam, met vragen of opmerkingen. Ongeveer een jaar geleden was er een post dat het niet meer mocht van tante Apple. Even grote stilte. Dan weer terug een aantal posts, gevolgd door maanden stilte. En voor een paar maanden terug wat posts...

Zie trouwens dat dat Talos blog blijkbaar heel netjes een dag _na_ de updates gepost is. Moet je als je dit soort info leest wel rekening mee houden.

De "groten" zijn daar netjes in. Het zijn die enkele anderen die me zorgen baren. De Apple haters, in de eerste plaats, maar ook die enkelen die gewoon de regels van "responsible disclosure" niet volgen. En ik heb al moeten merken dat Apple dan soms ook van niks weet. Weliswaar in zeldzame gevallen. Maar het wordt moeilijk om nog iets te signaleren aan Apple, als er geen consistente info is in de stijl van "We weten het en we werken er aan".

En zowat iedereen in de sec sector klaagt over een gebrek aan feedback van Apple.

Voor mij is de informatie die Apple zelf geeft meer dan genoeg: dit is het probleem en dat hebben we er aan gedaan. Kort en bondig.
Fijn dat het CVE id erbij staat voor cross referentie. Reuze interessant als er ook nog een link zoals die naar Talos bij staat, kan je de exploit volgen.
Maar wat kan ik er verder mee? Net zo veel of weinig als aan de diaree van meldingen in Console.app.
(Het wordt een heel ander verhaal als alles wat de Mac OS maakt, open source zou zijn.)

YMMV

Voor mij is die info ook genoeg, als je er op zou kunnen vertrouwen. Nu blijf ik telkens achter met de vraag: "Moet ik verder zoeken, of zal ik 't gewoon niet melden?"

Tsja, de Console is er ook niet op vooruit gegaan. En 't wordt blijkbaar weer wat erger in Sierra. Waar ze met de logs naartoe willen, is me duister.

Wat opvalt bij veel van de artikelen is dat ze vermelden dat El Capitan gepatched is met de laatste update van afgelopen maandag, maar Mavericks en Yosemite niet.

Of dat waar is weet ik niet. Zie wat ik hier omtrent gepost heb op Macintouch als Guest: http://www.macintouch.com/forums/showthread.php?tid=324

Als Apple, zoals je aangaf, gewoon duidelijk aan had gegeven wie er gepatched zijn  voor deze "Tiled TIFF" bug, was er geen reden voor verwarring. Nu rest alleen speculatie. Heel suf!

@Sjefke54: Haha, kon dat maar! Contact met Apple ivm feedback, bug reports, informatie over API veranderingen etc etc. is een apart draadje waard. Mij is het nu niet gelukt, vandaar post bij Macintouch waar nog wel eens (ex)Apple mensen komen.
Als het jouw of iemand anders wel lukt, dan graag vragen of:

Are Mavericks and Yosemite vulnerable for a Stagefright TIFF like exploit as described in CVE-2016-4631, even after applying Security Update 2016-004?

Ondertussen ga ik er vanuit dat ik veilg ben op Yosemite, vooral geen paniek. We zien wel.

Maar vermits Apple geen precieze info geeft, blijft het bij hopen...

En Alvarnell denkt dat het NIET gepatcht is:

I am confident that none of those earlier patches addressed this newly discovered CVE-2016-4631. It's certainly conceivable that it was not an issue with earlier OS X's, but when that has been true in the past Apple has made it clear. The way the vulnerability reads today it applies to ImageIO in Apple iOS before 9.3.3, OS X before 10.11.6, tvOS before 9.2.2, and watchOS before 2.2.2.

Seriously, Apple, wake up!

cyrano om 16:25, 27-07-2016

Seriously, Apple, wake up!