This is a machine translation. The original page (in English) is available here.
Окна
Мак ОС
Мобильный

Последние новости: 12 ноября 2016 - мы нашли новый обнаружить клавиатурных шпионов для вас. RSS-канал

Главная>Мировые новости>компания Apple пропустила безопасности лодка со снежного барса, говорит исследователь

AnyKeylogger для Mac

Яблоко пропустил катер с снежного барса, говорит исследователь

Яблоко упустил золотую возможность блокировать снежного барса , когда она вновь смогла полностью реализовать технологию безопасности, что Майкрософт усовершенствовал почти три года назад в Windows Vista, то заметил Мак, - сказал ученый сегодня.

Окрестили технологии aslr в структуру адресного пространства, технология случайным образом назначает данные памяти, чтобы сделать его сложнее для злоумышленников, чтобы определить расположение важных функций операционной системы, и таким образом сделать его более трудным для них, чтобы выработать надежные подвиги.

"Apple не изменит ничего", - заявил Чарли Миллер, Балтимор-независимый безопасности оценщиков, соавтор Маке хакера Справочник, и победитель двух подряд "соревновании pwn2own" хакерские конкурсы. "Это тот же aslr как в Леопард, что означает, что это не очень хорошо".

Два года назад, Миллер и другие исследователи критикуют Apple за выпуском Mac ОС x 10.5, он же Леопард, с придурью aslr в том, что не случайный важных компонентов операционной системы, в том числе кучи, стека и динамического компоновщика, часть леопарда, который связывает несколько общих библиотек для исполняемого.

Миллер был разочарован, что Apple не улучшили технологии aslr от леопарда до снежного барса. "Я надеялся, что Снежный Барс будет делать полный экспресс-панель, но это не так", - сказал Миллер. "Я не понимаю, почему они не. Но Apple упустила возможность с Снежный Барс".

Даже если и так, сказал Миллер, Apple сделала несколько шагов, что позволило повысить безопасность Мак ОС х 10.6 по. Два, которые выделяются, по его словам, его реконструкция QuickTime и дополнений в DEP (предотвращение выполнения данных), еще одна особенность безопасности, используемые в Windows Виста.

"Яблоко переписал кучу формата", - сказал Миллер, "который был действительно идеальным, поскольку это было источником множества ошибок в прошлом." Это не удивительно, так как QuickTime поддерживает множество форматов файлов, исторически их слабое звено. На прошлой неделе, на самом деле, Яблоко Исправлена четыре критические уязвимости в QuickTime в программы парсинга различных форматов файлов.

Как от Apple переписать QuickTime для снежного барса играет, конечно, сомнителен, но Миллер был оптимистичный. Эксплоит уязвимости в QuickTime леопарда, что он копил не сработает в версии, поставляемой с Снежный Барс, Миллер признал.

"Они уже вытрясли за эти годы сотни багов в QuickTime, но все равно было очень умно с их переписывать", - сказал Миллер. Если это было до него, правда, Миллер сделал бы еще больше. "Я хотел уменьшить количество форматов файлов от 200 до 50, и уменьшения поверхности атаки. Я не думаю, что кто-то будет скучать по ним".

Другие крупные улучшения охраны снежного барса в ДЭП, который сказал Миллер был значительно улучшен. ДЭП предназначен для остановки некоторых видов уязвимостей -- атаки на переполнение буфера, в первую очередь -- за счет блокирования код, выполняющийся в памяти, который должен содержать только данные. Microsoft представила DEP в Windows XP с пакетом обновления 2 (SP2) и расширил его для Vista и грядущей ОС Windows 7.

Поставить aslr и DEP в операционную систему, Миллер утверждал, и это гораздо труднее для хакеров, чтобы создать рабочие атакующий код. "Если у вас нет либо, или просто один из двух [функция aslr или ДЭП], вы можете по-прежнему использовать баги, но с обеих, это гораздо, гораздо сложнее."

Потому что Снежный Барс не полностью-функциональная экспресс-панель, компьютеры Mac по-прежнему легче пойти на компромисс, чем Windows Vista системы, - заявил Миллер. "Снежный Барс является более безопасной, чем Леопард, но это не так безопасно, как Vista или Windows 7", - сказал он. "Когда Apple имеет [в месте], вот когда я перестану жаловаться на безопасности Apple."

В конце концов, хотя, хакер незаинтересованность в Мак ОС х имеет больше общего с числами, так как на долю рынка, чем в то, что меры защиты Apple добавила в ОС. "Это сложнее писать эксплойты для Windows, чем в Маке", - сказал Миллер, "но все, что вы видите эксплойтов для Windows. Это потому, что если [хакер] может поразить 90% машин там-это все, что он собирается делать. Это не стоило ему почти удвоив свою работу только, чтобы получить, что последние 10%".

Пользователи Mac уже давно полагаются на "безопасность через неясность модель", чтобы уклониться от атаки, и он все еще работает. "Я по-прежнему думаю, что ты довольно безопасно [на Mac]", - сказал Миллер. "Я бы не рекомендовал антивирус на Mac".

Но упущенная возможность продолжает беспокоить его. "Aslr и DEP очень важно", - сказал Миллер. "Я просто не понимаю, почему они не сделали экспресс-панель в порядке", особенно, добавил он, поскольку Apple рекламировали снежного барса как обновление производительности и надежности для леопарда.

"Если кто-то другой управляет вашей машиной, это более ненадежного, чем если вы используете его," Миллер завершен.
Главная>Мировые новости>компания Apple пропустила безопасности лодка со снежного барса, говорит исследователь
Важно! Установка средств мониторинга компьютеров Вы не владеете или не имеете разрешения для монитора может нарушить местным, государственным или Федеральным законом.
Предложить перевод