Das Volk lässt sich mal wieder "verapplen"

[TramPolin]

iOS 7: Sammelaktion für Jailbreak

http://www.heise.de/newsticker/meldung/iOS...ak-2060689.html

[Iarn]

Es gibt einen schweren SSL Fehler auf iOS und OSX. Für iOS stehen wohl schon Bugfixe im Update 7.0.6 bereit, für OSX noch nicht. Durch eine falsche Linie Code hat Apple die SSL Abfrage komplett verbockt, d.h. das Betriebssystem nimmt auch falsche Zertifikate entgegen. Grund ist ein eine verdoppelte Codezeile welches einen unkonditionierten Sprung auslöst.

static OSStatus
SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa, SSLBuffer signedParams,
                                 uint8_t *signature, UInt16 signatureLen)
{
OSStatus        err;
...

if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
  goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
  goto fail;
  goto fail;
if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
  goto fail;
...

fail:
SSLFreeBuffer(&signedHashes);
SSLFreeBuffer(&hashCtx);
return err;
}

Man kann testen ob, man betroffen ist
https://www.imperialviolet.org:1266/
Diese Testseite enthält ein falsches Zertifikat, sollte der Bowser diese Seite aufrufen, ist der Rechner für SSL nicht zu gebrauchen. Die Seite ohne Portnummer oder mit korrektem Port 443 stellt übrigens das Problem ausführlich dar. Man stellt sich schon die Frage wie all die Jahre eine solch schwere Sicherheitslücke nicht aufgefallen ist, im Endeffekt akzeptiert das OS quasi jedes Schrottzertifikat.

[JeDi]

Betrifft das das OS ansich, oder nur den Schrottbrowser Safari?

[Bayernlover]

Also im Google Chrome auf dem neuesten OSX kommt da gar keine Website.
Aufm Safari dann aber das:

"If you can see this message then you are probably affected by CVE-2014-1266! See https://www.imperialviolet.org/2014/02/22/a...2/applebug.html for details and http://support.apple.com/kb/HT6147 for the iOS patch."

[JeDi]

Also im Google Chrome auf dem neuesten OSX kommt da gar keine Website.

Das kommt in meinem Windows-Chromium auch Scheint also ein Browserproblem zu sein.

[GSIISp64b]

Betrifft das das OS ansich, oder nur den Schrottbrowser Safari?

Der Fehler steckt in einer Systemlibrary und betrifft damit meinem Kenntnisstand nach weit mehr als nur Safari.

[VossBär]

Es gibt einen schweren SSL Fehler auf iOS und OSX. Für iOS stehen wohl schon Bugfixe im Update 7.0.6 bereit, für OSX noch nicht.
.....
Man kann testen ob, man betroffen ist
https://www.imperialviolet.org:1266/

Ach wie gut, wenn man nicht gleich jedes Update installiert.

Das Ende der integrierten Googlekarten und Youtube beim Sprung auf Version 6 hat mich schon abgehalten, dieses zu installieren.
Und jetzt noch das weichgespülte Design der Version 7.
Nein nein nein.
Ich warte mal auf IPhone 6 und iOS 8. Vorher bringt das leider nix mehr.

[TAL]

Betrifft das das OS ansich, oder nur den Schrottbrowser Safari?

Das Safari nen Schrottbrowser ist mag Geschmackssache sein, jedoch wie schon von GSIISp64b angemerkt betrifft es die Systemlibary ›SecureTransport‹ und somit jede Software die sie verwendet.

Wie auch unter iOS muss Apple den Bug in SecureTransport beseitigen, dann ist wieder „alles gut“.

Man stellt sich schon die Frage wie all die Jahre eine solch schwere Sicherheitslücke nicht aufgefallen ist, im Endeffekt akzeptiert das OS quasi jedes Schrottzertifikat.

Fehler in OpenSSL fallen auch erst nach einer gewissen Zeit auf, diese mag natürlich wesentlich kürzer sein, weil die Nutzerbasis aktiver sich beteiligt an ›Test and Drive‹. Meines wissens ist jetzt Apple auch nicht bekannt als Arbeitgeber der seinen Mitarbeitern ordentlich viel Freizeit lässt (währen der Arbeitszeit) unter Zeitdruck fällt eben so etwas wie vernünftiges Testen bei Software-Entwicklung meist sehr kurz aus -> Ist bei Librarys/Frameworks die, die Systemsicherheit betreffen eher Fatal als ein kleineren Bug in irgendwelchen UI-Frameworks

[spock5407]

Das hat man von einer Sprache, die kein "End if" verwendet.
Nachdem ich ein solches eigentlich immer gewohnt bin, hab ich erst gar nicht erkannt, dass das 2. Goto ausgeführt werden könnte.

[GSIISp64b]

spock hat nen Ninja-Edit gemacht!

Na ja - in C ist es eigentlich ganz schlechter Stil, if-Blöcke nicht komplett einzuklammern.

[spock5407]

Etz war ich zu langsam mit dem Editieren.

Mein tagein tagaus genutztes PL/SQL lässt sowas gar nicht zu, da sind If's, Case Whens, Loops etc immer abzuschliessen, egal ob 1 oder 1000 Statements dazwischen sind.

[Boris Merath]

Na ja - in C ist es eigentlich ganz schlechter Stil, if-Blöcke nicht komplett einzuklammern.

Es ist schon extrem mieser Stil, GOTOs zu verwenden...

[GSIISp64b]

Es ist schon extrem mieser Stil, GOTOs zu verwenden...

Das gilt so pauschal eben nicht, habe ich mir sagen lassen. In bestimmten Szenarien ist das einfach der einfachste Weg zum Abfangen von Fehlern, wenn du ohne Exception Handling arbeitest.

Und wenn da statt "goto fail" jetzt meinetwegen "return ERR_BLA" stünde, würde das genau was an dem Problem ändern?

[Boris Merath]

Das gilt so pauschal eben nicht, habe ich mir sagen lassen. In bestimmten Szenarien ist das einfach der einfachste Weg zum Abfangen von Fehlern, wenn du ohne Exception Handling arbeitest.

Ich sehe hier keinen nennenswerten Vorteil in dem Goto:

Code: Alles auswählen

if ( ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) == 0)
&& ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) == 0)
&& ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) == 0)
{
    mache was auch immer
}
SSLFreeBuffer(&signedHashes);
SSLFreeBuffer(&hashCtx);
return err;

Oder habe ich etwas übersehen?

Edit: Ja, ich habe was übersehen, nämlich die Rückgabe des Errorwerts. Ich sollte besser ins Bett
Wobei mein Code sogar funktionieren würde, sinnvoll und klar wäre diese Implementierung aber wohl nicht

[GSIISp64b]

Ich habe mir sagen lassen, dass es in bestimmten Bereichen eben ein Standard ist, Fehlerbehandlung über gotos zu machen. Keine Ahnung, warum - aber so pauschal scheint das eben nicht falsch zu sein.

[Iarn]

Der Fehler steckt in einer Systemlibrary und betrifft damit meinem Kenntnisstand nach weit mehr als nur Safari.

Ich kenne mich bei Apples Betriebssystemen nicht aus, nehme aber an, ss ist nicht zwingen für Browser für SSL Implementierung die System Libraries zu verwenden.

[Meikl]

Also wenn einer meiner Teammitarbeitern so einen Code produziert hätte wie Apple, dann hätte ich ihm ordentlich die Leviten gelesen...

Und das soll die wertvollste Firma der Welt sein.

[spock5407]

Goto ist einer strukturierten Sprache unwürdig. So hab's ich jedenfalls mal gelernt.
Kann auch PLSQL, hab ich aber noch nie in 13 Jahren gebraucht. Dafür gibts andere Code-Sünden oder zumindest schlechte Gewohnheiten für Oracle-Code bei mir. :rolleyes:

[GSIISp64b]

Ich kenne mich bei Apples Betriebssystemen nicht aus, nehme aber an, ss ist nicht zwingen für Browser für SSL Implementierung die System Libraries zu verwenden.

Zwingend ist es nicht, es machen aber trotzdem ziemlich viele Programme (nicht nur Browser).

edit: Auch nett.

[Daniel Schuhmann]

Das Mac OS X-Update ist draußen.

[Iarn]

Der erste USB Sttick für iPhones auf Kickstarter
Nicht gerade der schnellste und pro GB zehnmal so teuer (10 $ pro GB Startpreis).

Irgendwie erinnern mich die ganzen Apple Produkte an Butzwassser

[DumbShitAward]

Wenn man sich das mal im Vergleich dazu anschaut, dass Samsung gestern offiziell das Galaxy S3 beerdigt hat, weil man offenbar nicht in der Lage ist Android 4.4 für die GSM/UMTS-Varianten anzubieten, da 1GB RAM nicht genug ist, dann kann man da ein wenig zynisch sagen "Immerhin funktionieren Apples Produkte".

[Auer Trambahner]

Zitat Heise:

somit erspart die Update-Verweigerung den Nutzern den iPad-1-Effekt: Dieses anfangs revolutionäre Tablet lässt sich nach den letzten Updates kaum noch bedienen, selbst Apples eigene Apps stürzen ab, vieles läuft entnervend langsam.

Auch nicht so ganz, das Apfel immer problemfrei tut.

Quelle

[spock5407]

Das Iphone 4 mit iOS 7 wurde auch träge.
Mei. Ich kann halt auch auf nem 486er nicht wirklich mehr als Windows 3.11 oder Win 95 sinnvoll betreiben.

[Jojo423]

Das Iphone 4 mit iOS 7 wurde auch träge.

Interessant: Hierzu wird in der Presse schon spekuliert, dass das iPhone 4 nicht mehr eine iOS 8 Unterstützung erhalten wird, obwohl es diesbzgl noch gar keine Informationen gibt. Es ist zwar sehr wahrscheinlich, trotzdem ist noch nix gesagt (ich dachte damals auch, dass das iPhone 3GS nicht mehr iOS 6 bekommt, und wurde dann doch vom besseren belehrt). Generell geht mir diese "Was passiert in Zukunft"-Berichterstattung ziemlich auf den Senkel. Sowas gibts bei Android nicht, vllcht sollte Apple mal ein wenig dagegen steuern, auch wenn es kostenlose Werbung ist.

[Jojo423]

Passend dazu heute im Postillion: Neuer Apple-Coup? Akku in iPhone 6 soll auf 300 Prozent aufladbar sein

[VossBär]

Auch nicht so ganz, das Apfel immer problemfrei tut.

Als iPad 1 Nutzer muß ich dazu erwähnen, daß
- mich das Stehenbleiben auf FW 5.1.1 anfangs genervt hat,
- dann ich erkannt habe, daß mir werbefreies YouTube und die Googlekarten mehr wert sind,
- die Apps, so sie denn maal laufen, auch nicht permanent aktualisiert werden müssen (Never change ...)
- in letzter Zeit ein Abschmieren diverser Webseiten passierte, liegt eben an den nur 256 MB RAM.

Ich habe seit wenigen Wochen ein iPad 3,
- weil ich mein Zubehör auf den alten Anschluß ausgerichtet habe,
- es doch schneller ist, 1 GB RAM lassen flüssigeres Arbeiten zu,
- es mit 64 GB nagelneu für schlappe 430€ herging.

Und der Clou. Es ist eines mit FW 5.1
Gründe siehe oben.
Die Karten sind mir fürs Hobby elementar wichtig.

Was passiert mit Nr. 1?
Das wird (vsl.) in der Firma weiterverwendet. Das nehmen wir für Inbetriebnahmen her. Ideal.
Selbst nach gut 3 Jahren rauhem und regelmäßigem Einsatz, überzeugt mich immer noch die Akkulaufzeit.
Auch wenn es ein paar Mal gestürzt ist, es tut absolut & einwandfrei.
Die Kapazität von 64 GB hätte ich mir seinerzeit sparen können, ich habe es nicht mal halbvoll bekommen.

Zum Schluß noch meine aktuelle Einstellung zum Apfel:
IPhone 4(s) überzeugt, Nr. 5 nicht mehr.
iOS 6 war der Gang aufs Klo, Nr.7 vll. der Griff hinein.
Daß erst ein 7.1.1 vernünftig läuft, darf nicht sein. Daß ist vergleichbar mit Windows 8.1 und einem Sack Updates.
Für meine Zwecke reicht die Ausstattung voll und ganz.
Neue Apps? Mal schauen, was so noch kommt.
Gute Entwickler bauen sie abwärtskompatibel auf.

[VossBär]

Passend dazu heute im Postillion: Neuer Apple-Coup? Akku in iPhone 6 soll auf 300 Prozent aufladbar sein

"...Berichten zufolge hat ein chilenischer Tech-Blogger, dessen Schwager über einen koreanischen Austauschstudenten Kontakt zum Bekannten eines Arbeiters bei einem Apple-Zulieferer in Südkorea hat, die Spekulationen bestätigt..."

Wie schon bei den Ärzten:
"Hast du gehört und sag mal wusstest du schon,
nämlich: Du verdienst dein Geld mit Pr.xxx..
Du sollst ja meistens vor dem Busbahnhof stehen,
der Kollege eines Schwagers hat dich neulich gesehen."

[Auer Trambahner]

Es ist mal wieder soweit, HYPER! HYPER!

Bei EBay werden bis zu 3000 Euro fürn i6 verlangt.

Nur damit man so einen Klotz als erster in der Dorfdisse den Chicas unter die Nase halten kann.

[spock5407]

3000 Mücken? Buahahah. Wer des zahlt, dem kann man echt nicht mehr helfen.

Aber noch übler wirds, wenn man dann nächstes Jahr im Dorfschuppen seine tolle Uhr zeigen will, was die alles kann, und sie dann aber keinen Strom mehr hat. B-)
Wer eine Uhr kauft, die man täglich laden muss, dem kann man nicht mehr helfen. Da gewinnet die Phrase "ein zeitloses Design" gleich eine ganz neue Bedeutung.
Das wird soviel Erfolg haben wir das Ding, das aus "beat up Martin" ein "eat up Martha" macht.