FYI: heise Security - 23.03.09 - Pwn2own-Fazit: "Mac hacken macht Spaß, Windows ist harte Arbeit"

24/03/2009 - 12:26 von Michael Domhardt | Report spam
Zitat:

"[...]

Bei einem Vergleich der von ihm demonstrierten Sicherheitslücken siedelt
er die Demo mit Internet Explorer 8 auf Windows 7 ganz oben an: Es sei
"sehr, sehr schwierig" gewesen, den Fehler verlàsslich auszunutzen und
Address Space Layout Randomization (ASLR) und Data Execution Prevention
(DEP) zu umgehen. Weil Windows es so schwer mache, Sicherheitslücken
gezielt auszunutzen, habe er die Firefox-Lücke auch lieber auf dem Mac
vorgeführt, obwohl der Fehler auch bei der Windows-Version auftritt. Bei
Mac OS X gebe es kein ASLR oder DEP. Deshalb könne man den Code einfach
in den Speicher einschleusen, ausführen und es funktioniert. Er ist sich
da mit den Sicherheitsexperten Charlie Miller und Dino Dai Zovi einig:
"Das Schreiben von Exploits auf dem Mac macht Spaß. Auf Windows ist es
harte Arbeit."

[...]"

*Quelle*
http://www.heise.de/security/Pwn2ow...ung/135005
 

Lesen sie die antworten

#1 Hannes Gnad
24/03/2009 - 15:45 | Warnen spam
Michael Domhardt wrote:

Hallo.

Bei einem Vergleich der von ihm demonstrierten Sicherheitslücken siedelt
er die Demo mit Internet Explorer 8 auf Windows 7 ganz oben an: Es sei
"sehr, sehr schwierig" gewesen, den Fehler verlàsslich auszunutzen und
Address Space Layout Randomization (ASLR) und Data Execution Prevention
(DEP) zu umgehen. Weil Windows es so schwer mache, Sicherheitslücken
gezielt auszunutzen, habe er die Firefox-Lücke auch lieber auf dem Mac
vorgeführt, obwohl der Fehler auch bei der Windows-Version auftritt. Bei
Mac OS X gebe es kein ASLR oder DEP. Deshalb könne man den Code einfach
in den Speicher einschleusen, ausführen und es funktioniert. Er ist sich
da mit den Sicherheitsexperten Charlie Miller und Dino Dai Zovi einig:
"Das Schreiben von Exploits auf dem Mac macht Spaß. Auf Windows ist es
harte Arbeit."



Meister Zovi hat deshalb schon vor fast einem Jahr seinen Wunsch-
zettel für 10.6 abgegeben:

http://blogs.zdnet.com/security/?p25

Mal schauen, was Apple davon umsetzen wird - Noses?

Im Web findet sich:

http://www.appleinsider.com/article...urity.html


Beste Gruesse, Hannes Gnad
Apple Distinguished Professional http://www.apfelwerk.de/
* Mac OS X 10.5 Leopard - seit 26. Oktober 2007 - http://www.apple.de/ *

Ähnliche fragen