iOS 4.0.2 behebt kritische Sicherheitslücke

Zitat

Original geschrieben von belinea
wie willst du dann das Passwort dafür ändern?

Deswegen hab ich gefragt
Danke belinea

Zitat

Original geschrieben von belinea
Wenn kein SSH Zugang möglich ist, wie willst du dann das Passwort dafür ändern?

Das ist unter anderem auch das ssh-Passwort Aendern kann man es auch ohne SSH-Zugang, z.B. ueber MobileTerminal. Aber das steht alles unter dem bereits genannten Link.

naja, wenn Du einen SSH-Server installierst, mit dem Du dann vom PC auf das IPhone zugreifst, dann MUSST Du das Root-PW ändern.

Ohne SSH-Server kannst Du mit einem SSH-Client (kommt automatisch mit Cydia) trotzdem auf den PC (oder eben den Cydia-Server) zugreifen, dafür braucht es keine Änderung des Passwortes.

Aber: Im Safari-Browser steckt ein Loch, um erstmal beliebigen Code in das Phone hineinzubekommen. Das ist für den Hacker aber nur die halbe Wahrheit. Der eingeschmuggelte Code muss dann aus der Sandbox ausbrechen und mit root-Rechten laufen können. Du wirst mir zustimmen, dass das Erreichen von Root-Rechten mit Kenntnis des Passwortes sicher einfacher ist als ohne.

Daher denke ich, ist es auch ohne SSH-Server auf dem Phone sinnvoll, das PW zu ändern.

Wobei ich nicht weis, ob comex für das Ausbrechen aus der Sandbox das Original-Alpina-Passwort benutzt hat, wenn nicht, ist es eh egal, dann hilft auch ein neues Passwort nix.

Ein Ersatz für das Stopfen der Löscher ist es nicht, aber dafür will das Dev-Team ja noch was bereitstellen.

Fazit: 3.0.1+jailbreak+Patch ist genauso sicher wie 3.0.2

Zitat

Original geschrieben von mausi25_ef
Behebt dieses Update nur das bekanntliche Problem mit dem PDFs?
Ich lade keine PDFs runter, also dürfte das Problem ja nicht so schlimm sein, oder wie schätzt ihr das ein?

In den Medien wird ja immer gerne alles hochgepuscht als es eigentlich ist.

Da wird nix hochgepusht. Du musst beim Browsen nur auf einen Link klicken, der auf eine (versteckte) PDF-Datei verlinkt und schon kann man von dieser Sicherheitslücke betroffen sein.

Zitat

Original geschrieben von belinea
Nein, dann musst du das Passwort nicht ändern. Bzw. kannst es gar nicht ändern. Wenn kein SSH Zugang möglich ist, wie willst du dann das Passwort dafür ändern?

über die Shell? Ok, die läuft im Moment grad nicht auf dem i4. Aber auf einem 3g(s) mit 4.0.1. SSH ist doch nur der Weg "von aussen".

Zitat

Original geschrieben von orlet
über die Shell? Ok, die läuft im Moment grad nicht auf dem i4. Aber auf einem 3g(s) mit 4.0.1. SSH ist doch nur der Weg "von aussen".

Es gibt ein Update, schau mal in die Twitter-Posts von @saurik.

Zitat

Original geschrieben von orlet
über die Shell? Ok, die läuft im Moment grad nicht auf dem i4. Aber auf einem 3g(s) mit 4.0.1. SSH ist doch nur der Weg "von aussen".

Und wie willst du connecten wenn kein SSH Server läuft auf dem iPhone?
Und auch lokal hast du keinen Zugang via SSH wenn OpenSSH nicht installiert ist.

Zitat

Original geschrieben von harlekyn
Es gibt ein Update, schau mal in die Twitter-Posts von @saurik.

Zitat

An alpha-quality MobileTerminal for iOS 3.2/4.0 (it hates some devices): http://bit.ly/aFaFmX

Quelle: http://twitter.com/saurik/statuses/20962636342

Zitat

Original geschrieben von harlekyn
Es gibt ein Update, schau mal in die Twitter-Posts von @saurik.

Danke, hatte ich schon gesehen. Es erschien mir unpassend, in diesem Thread einen Hinweis auf ein Alpha-.deb-Paket zu geben, welches man noch händisch installieren muss.

Zitat

Und wie willst du connecten wenn kein SSH Server läuft auf dem iPhone? Und auch lokal hast du keinen Zugang via SSH wenn OpenSSH nicht installiert ist.

Ich will gar nicht connecten. Die Shell connectet sich doch nicht über localhost an den SSH-Demon, sondern wird doch wohl direkt mit dem Kernel kommunizieren, oder lieg ich da jetzt total falsch?

PS: Der Patch für die <4.0.2 ist draussen, wird in Cydia als Update angezeigt

Hi,
habe das Gefühl das der Touchscreen nach dem Update nicht mehr so richtig reagiert., oder bilde ich mir das nur ein.Wie ist es bei euch?

mann das update bei mir zeigt beim download 13 Stunden :mad: