News 04/23 –

M2 MacBook Pro // Git Sicherheitslücke // Bun 0.5

25.01.2023

Shownotes

Apple hat neue M2 MacBook Pros vorgestellt, die Verbesserungen um 20 %, 30 % und 40 % bei CPU, GPU und Neural Engine im Vergleich zum M1 bieten und ab sofort verfügbar sind.

Git hat eine Sicherheitslücke in Version 2.39, die viele von euch betreffen und durch die fremder Code in euer Projekt eingeschleust werden könnte.

Bun kommt in der neuen Version 0.5 und bringt unter anderem Unterstützung für Node.js-Workspaces mit.

/transkript/programmierbar/news-04-23-m2-macbook-pro-git-sicherheitsluecke-bun-0-5
Hallo und herzlich willkommen, liebe Hörerinnen, zu einer neuen Folge der Programmier.bar News 0423. Wir sind heute zu dritt. Jetzt mit dem Sebi und mit dem Jojo. Ich bin Dennis und der Fabi hat Terminfindung Schwierigkeiten und ist deswegen heute nicht zur Aufnahme geschafft. Kindergarten und Betreuung. Kindergarten und Betreuung und Kalender falsch gucken haben sich da kombiniert. Schade, dass er heute nicht dabei sein kann. Wir reden über eine neue Version von wann? Dann haben wir leider eine Sicherheitslücke, über die wir sprechen müssen in Git. Und dann so still und heimlich. Eigentlich hat Apple neue Hardware unterm Teppich hervorgezaubert. Hmm, dann fangen wir doch mal an. Dann wird der MacBooks an und so.. Ich dachte, du machst jetzt so was. Dann zu Bahn, dann zur Bahn. Das kann ich mir auch wirklich erklären. Ja, letztendlich. Also erst mal, es war einfach nur ein Presserates und Video, was sie daraus gemacht haben. Also kein Live Event, was irgendwie haben. Und auf dem Event Insgesamt wurden die neuen M2 Prozessoren für MacBooks und MC Mini vorgestellt. Dann gab es einen neuen dicken Home Pod, also der alte Große, der initial mal vorgestellt wurde, der Home Speaker von Apple, den es lange Zeit von Apple selbst nicht mehr gab. Da gibt es jetzt eine neue Version von. Für die meisten von uns wahrscheinlich am interessantesten sind die MacBook Pros, weil das ja die Powermaschinen waren, die letztes Jahr erst war aber das vorletzte Projekt, das vorletztes vorletztes Jahr das Update auf diese M1 chippen bekommen haben mit diesem Pro und Macs Version und wo einfach wir gemerkt haben, dass da ein wahnsinniger Performance Bugs tatsächlich von echten Unterschied im Arbeitsalltag macht und gemacht hat. Gerade weil so Dinge wie Batterie, Laufzeit, Lüfter hört man praktisch gar nicht mehr und so einfach sehr angenehm sind. Und jetzt kommt die neue Generation M2M und auch M2max lässt sich praktisch maximal aus konfigurieren. Letztendlich die MacBooks und. Also es gibt auch wieder alle drei Chipgrößen, dass die normalen die Pros und die max. Version hast. Und da gab es immer nur die. Pro und Macs, in denen jeweils einen MacBook. Pros gibt es gar nicht, die normalen, die sind in dem MacBook Air oder so drin. Ich glaube, dass 13 auch noch mit normal. Ich meine schon. Sind sie vielleicht da auch drin? Naja, auf jeden Fall. Was damit jetzt geht. Wer irgendwie vorher das Gefühl hatte, das 64 Gigabyte zu wenig Arbeitsspeicher sind. Der kann sich jetzt freuen, denn jetzt werden 96 GB Arbeitsspeicher unterstützt und statt zehn Kerne hat man jetzt zwölf Kerne zur Verfügung. Und ach Vorsicht! Ach. Das sind ja mal gute Neuigkeiten. Das sind zwei weitere. Kenn ich nicht. Aber zwei Low oder so? Diese Low Dinger sind auch noch mal irgendwie größer geworden, oder? Es gibt jetzt vier Loopdinger und acht High Performance, oder? So? Ja. Ja. Irgendwelche Details? Langweilig. Anyway. Kommen wir ja zu Prozentzahlen, die Apple daran packt, wie viel geiler das dann alles ist. Sie sagen 20 % schnellere CPU, 30 % schnellere GPU und. 40 % bessere Engine. Und das ist sowohl, wenn man den M1 Pro zwei pro vergleicht als auch M1, Max und M2 Max. Sind jeweils diese 20 % CPU und 30 % GPU und 40 % aller Engine Countries, die da sind. Trotzdem ist das Fazit so insgesamt sehr aktuell. Also was man so liest wie aktuell auf den M1 Max Chips unterwegs ist, der wird jetzt keine Revolution so merken, wie es davor war. Und wirklich auch ein bisschen fraglich, ob diese Power aktuell irgendwie eingesetzt werden kann. Also selbst von Leuten, die viel Videobearbeitung machen. Also da stößt man eigentlich jetzt aktuell schon selten auf auf die Grenzen. Aber gerade für die, die noch nicht den Schritt in die Apple Silicon Welt gemacht haben, für die ist natürlich dann nochmal ein gigantischer Schritt dorthin. Ähm, genau. Wie ist es dann bei der Review Zeiten? Haben sich wahrscheinlich nicht merklich verändert. Also das war tatsächlich ist die auch nochmal ein bisschen besser geworden. Ähm, aber das ist nicht so viel so. 16 Zoll m2, 16 Zoll im eins Video Playback jetzt 22 statt 21 Stunden und Wireless Web 15 statt 14 Stunden. Also ja, das ist ein bisschen mehr, aber beim Mac Mini ist die Energieeffizienz glaub ich und ich nach oben gegangen bin habe ich mir nicht angeguckt. Oder finde ich es interessant das auch ich nur zu erwähnen, dass der jetzt nicht nur den. Denn vorher hatte der ja nur eins zwei und jetzt hat er ja auch den zwei und den zwei max. Kann man ja auch für richtige pro Sachen nehmen. Die Minute nehmen uns das. Sebi hatte ich so das ich das aus seinem Privatleben erzählen also so wie es ja kommt drauf an wie auch ich schon seit langer Zeit so ein kleiner Apple Fanboy und jetzt kam die Präsentation und dann kam er zu mir und sagte sogar ich überlege, ob ich mir jetzt nicht doch zwei von diesen neuen Homeports kaufe. Aber ich habe das zu Hause. Muss ich das an meinem Fernseher als Stereosystem um, um coole Filme zu hören? Ich weiß nicht, irgendwie die alten, weil ich habe mir damals große gekauft und die ersten beiden sind kaputt gegangen, so kurz nach der Garantiezeit. Und dann gab es den Großen nicht mehr. Dann habe ich mir zwei kleine gekauft und die zwei kleinen da funktioniert irgendwie häufig Siri nicht. Und daraus dann den Schluss zu ziehen Geil, jetzt kaufe ich mir zwei neue Große, die sich kaum verändert haben in den letzten Jahren. Da hat man schon eine gewisse Apple Affinität, die man braucht, um die Vorgeschichte zu ignorieren. Aber vielleicht kannst du die Erfahrung nicht, dass sie kaputt gegangen sind oder bei dir funktionierten. Das war ja so, das ist. Das ist ja seine persönliche Geschichte. Ich sehe nicht ich hier. So ein Leuten kauft er erstmal, ohne jetzt jedes Detail vom Dennis zu korrigieren. Ja, mit der Schlussfolgerung ich bleibe auch erstmal bei den Kleinen. Ich hoffe, ich habe dir den Kauf nicht versaut und ich wollte das ja auch gar nicht und ich hatte mir nur einen gekauft und der fortgegangen nach der Garantiezeit. Aber der, also ich hatte mir tatsächlich erst eingekauft und den habe ich dann meiner Mama gegeben. Und dann habe ich mir noch einen in den USA gekauft und der aus den USA ist kaputt gegangen und den ich mir zuerst gekauft habe hier, der bei meiner Mama steht, der läuft immer noch tadellos. Spielt der Herr ihr jeden Tag. Was anderes ist nicht das. Was andere Mutter nicht genommen hat. Das ist schön, aber er lässt sich leicht bedienen und ausschalten und kann mit ihm reden. Ach ja, und wenn Siri irgendwann mal hier ein ChatGPT Upgrade bekommt, dann funktioniert das, das ordentlich dann zu bannen. Ja, man hat ein Update bekommen und kann jetzt ein paar Workspaces installieren, kann als Basis für. Also kurz zur Erläuterung ein PM Workspace. Das ist so eine Funktion, dass ich in Unterordner Paket Jasons habe, so dass er per Workspaces auf Smart Art und Weise die Dependency Idee dupliziert und hochsortiert, sodass ich dann nicht in jedem Unterordner, wo der Paket Jason liegt, die gleichen Dependencies im Herbst und die werden dann hochgezogen. Und wird vor allem genutzt für Monorepo. Also wenn da wirklich große Repository ist mit verschiedenen Pictures drin, ist das natürlich super sinnvoll. Remakes oder sowas hatten sie glaub ich als Beispiel angeführt. Monorepo om ist da natürlich super fix und so eine Sache. Und eine andere große Neuerung ist, dass sie ähm, ich glaube das DNS und noch so ein anderes Connect Irgendwas Modul in Waren eingebaut haben, so dass man als Datenbank Treiber verwenden kann, also man, SQL und das. Und PostgreSQL. Und sowas kann man jetzt auch mit Bannern steuern. Braucht man dafür noch ein Package oder ist das wirklich rein über die Engine abgedeckt? Dass also die Dependencies, also das Non Plus Package zum Beispiel kann man dann installieren und es funktioniert. Dazu. Also das finde ich immer so cool. Ein bisschen wird es wohl nicht gehen. Und auch schade. Normalerweise scheut er sich ja nicht, irgendwie mit Zahlen um sich zu werfen, was Performance betrifft, dass Location zehn mal schneller geworden ist oder jetzt 100 mal schneller irgendwelche Crypto Hashes gemacht werden können oder so was. Zu der Performance von von der neuen Datenbanksache oder diesem Kollektiv hat er nichts gesagt. Vielleicht ist da aber auch nicht viel. Rauszuholen und deswegen habe ich ihn dann mache oder ihn als kriegsentscheidend. Aber cool, das geht ja. Wahrscheinlich war das ja für viele der Grund, warum sie noch nicht überlegt haben, auf Band zu wechseln. Und dadurch, dass diese Funktion jetzt bereitsteht, weil das ist ja eine der häufigsten Anwendungsfälle, dass du auch eine Verbindung zu irgendwelchen Datenbank oder Caching Systemen brauchst, wenn du da mit einer Applikation baust. Genau. Also man muss eben nicht nur als als Proxy Edge Render Engine verwenden. Ich glaube, die Sequel Sachen hatten sie ja von Anfang an drin, sogar irgendwie in Bann. Aber, aber ja, coole Sache und irgendwie auch beeindruckend. Das Entwicklungstempo bei Bahn finde ich schon. Finde auch cool, dass da irgendwie mehr oder weniger der Creator da noch so am Ball ist und vorne mit wuselt und seine Firma nebenbei aufbaut und. Finde ich irgendwie nicht. In den Follower auf Twitter und magister das cool. Na, jetzt. Hab ich gerade auch schnell gegoogelt, ob sich was auf Gitter reimt oder ähnlich. Gute Überleitung. Hinzu kommen aber Security Fragen. Eingeschriebene Gedichte kriegt man ganz gut hin. Ja, ich dachte das ist auch. Ich hatte nicht besonders viel Verständnis von einem Gedicht. Muss ich ehrlich sagen. Für mich war ein Gedicht immer in einer Form, irgendwie in meinem Kopf, aber besser nicht. Es ist ein bisschen anspruchsvoller, meistens, wenn es sich nicht reimen. Aber Büttenreden kann er Büttenreden schreiben, Das wäre toll. Okay, machen wir jetzt den. Übertritt zu Git. Sehr gut. Machen wir das genau. Es gab in G2 kritische Sicherheitslücken, die gepatcht wurden. Die betreffen die Version 2:39 und alles, was darunter liegt. Also ihr solltet eigentlich ich am Ende auf die 32 Uhr 1patschen und das gesamte wurde proaktiv eigentlich gefunden. Das war ein Security Audit, der von einer Firma, die sich 46 an der deutsch Family 46 nennt, geführt wurde und auch von einem GitLab Team. Und da können wir darauf hinweisen, dass wir am Freitag jetzt einen Podcast über GitLab machen. Da sind wir, glaube ich, auch schon kurz darauf eingegangen. Also GitLab war letztlich mit an Bord und die haben eben diese zwei Sicherheitslücken gefunden. Gesponsert wurde das Ganze von dem Open Source Technologie. Improvement fand, dass es letztendlich ein eine Non Profit Organisation, wo eigentlich alle großen Tech Unternehmen eigentlich beteiligt sind, die da halt so ein bisschen Geld bereitstellen und dann letztendlich mit diesem mit dieser Finanzierung dann eben Security Reviews durchgeführt werden kann. Die sagen, auf ihrer Website sind über 1000 Weltklasse Security Experten, die sich daran beteiligten, beteiligen. Sie haben insgesamt schon über 5000 Stunden von Security durchgeführt, haben über 50 Service Bugs in allen möglichen Bibliotheken gefunden. War mir vorhin nicht so ein Begriff, dass es das gibt, Aber in diesem Fall und ich glaube, die letzte Security Audit war auch etwas zu kurz, wo sie eben Sicherheitslücken infiziert und gepatcht haben. Und diesem Fall war es eben zu gut. Und die beiden Sicherheitslücken und es sind sogar drei Sicherheitslücken, wobei eine nur letztendlich eine Windows Oberfläche, also die Windows Git GUI betrifft. Die erste Sicherheitslücke entsteht, wenn man geht Lock Format oder kann jetzt nicht ausgenutzt, denn wenn man geht lock Format mit padding Operator benutzt und dann kann es dazu kommen, wenn man diesen padding Operatoren im Lage große Integer angibt, dass es zu einem Integeroverflow kommt und man da eigentliche Korruption hervorruft, wo man dann letztlich ja alle möglichen Code irgendwie dann auf dem Haupt des Systems ausführen kann. Und das kann passieren eben bei Logformat, aber genauso im Archiv Archiv unter der Haube eben auch Lock Format nutzt und ist natürlich immer ein Problem, wenn man irgendwelche Repository auscheckt und eben beim Formatieren letztendlich dann diese padding Operatoren eben dann dann ausführt oder eben anwendet. Deswegen kann eben ein Medikationsmechanismus sein, eben momentan eben auf angetrasteten Repository, wo man nicht weiß, dass sie zum Beispiel auf GitHub gehostet sind, die inzwischen da Sicherheitsmaßnahmen ergriffen haben und alle Repository überprüft haben, dass man dann eben einfach dieses diesen Befehl im Outlook Format oder getarchiv erst mal nicht mehr ausführt. Die zweite Sicherheitslücke betrifft git attributes und gibt Attributes. Werden ja einfach als Dateien letztendlich mit im Repository hinterlegt, um dann letztendlich einen spezifischen Verzeichnis für dieses spezifische Verzeichnis git Attribute für die git für das Tool bereitzustellen. Und da war es eben so, dass auch dort eben über ein spezielles Format Overflows ausgeführt werden konnten, wo dann auch und das war an drei verschiedenen Stellen, also entweder wenn man eben große Nummern in irgendwelchen Patterns definiert hat, in diesem Attribut, wenn man eine sehr große Anzahl von Attributen vergeben hat oder auch wenn die Attribute eben Namen hatten, die eine bestimmte Zeichenlänge überschritten haben, dann war es in dem Fall eben auch so, dass wir hier sogar einen Zugriff bekommen haben. Aber sie konnten auch eben dann auf den Heap und auf den Speicher des Rechners zugreifen und dort eben auch Daten auslesen. Und die dritte Sicherheitslücke betrifft eben nur gibt. GUI. Das ist eben so, das geht gut. Eben ein Post Processing ausführt, wenn es ein Repository ausschickt. Und da werden auch sogenannte Spellchecker ausgeführt, die werden sozusagen im Repository können die mit verankert werden oder hinterlegt werden. Und da ist es so, dass dieser Spell Checker eben direkt auf dem ausgecheckt den Code also das geguckt. Wenn ein Aspekt Checker in dem ausgezählten Code drin ist, dass da direkt ausgeführte das kann sein. Wenn man also sozusagen dort einen Spellchecker ausschickt der Code mit sich trägt, dass der dann direkt ausgeführt werden kann wird und natürlich dann auch jeglichen Code dann irgendwie ausgeführt werden könnte. Was man eben machen kann, um das Problem zu beheben, ist zum einen natürlich auf die Patch Version 2391 zu updaten. Das ist in den meisten Linux Version eben schon verfügbar oder auch wurde schon automatisch installiert, sodass sie in dem Bereich eventuell gar keine aktive Aktion durchführen muss. Auf MacOS system ist es eben so, dass wenn ihr das über Export bezogen hat, es da noch kein Patch gibt. Man könnte jetzt natürlich überlegen, ob Probe nutzt, um einfach Git darüber zu installieren auf. Die 32 eins. Da gibt es auch eine gepatcht Version. Oder ob er auf die entsprechenden Operationen einfach verzichtet. Das heißt, dass man einfach kein Logformat mit ihm lokal ausführt oder auch Getarchive eben nicht mehr auf unseren Repository ausführt, wo ich nicht weiß, wo wirklich die Quelle ist oder dass ich auch zum Beispiel in die man mit entsprechender Option nicht mehr ausführe. Und grundsätzlich wird natürlich auch gesagt, wenn ihr Git Gui auf Windows nutzt, das ihr auf jeden Fall keine an Trusted Repository auschecken solltet. GitHub hatte ich vorhin schon erwähnt, hat eben paar proaktive Steps ausgeführt. Zum einen ist es so, dass sie wirklich alle Repository gescannt haben, ob diese Modifikationen an den Positivliste vorgenommen wurden, die dann zu einer dieser Sicherheitslücke führen könnten. Sie haben auch eben dann jetzt angestoßen, das Kostbares und GitHub Actions eben eine neue Version von Geld bekommen. Das ist wohl noch nicht komplett ausgerollt, aber gerade im Prozess. Und genauso, dass eben bald eine neue Version des GitLab Enterprise was bereitsteht, der eben dann auch diese gepatcht Version von Git hat. Also ihr könnt euch überlegen, entweder weniger machen mit Git aktuell und warten auf MacOS System bis es da eine Patch Version von von Apple gibt oder eben aktiv natürlich dann eben git überprüft zu installieren, um auf der sicheren Seite zu sein. Ich danke dir noch sagen das gestern die Beta von TypeScript fünf rauskam. Ja, gestern kam die Beta von TypeScript fünf raus hier. Was sich dahinter verbirgt, erfahrt ihr nächste Woche. Vielleicht so ganz. Fantastisch. Vielen Dank. Ich würde dann mit einem Gedicht diese Folge schließen wollen. Gerne. Denn tatsächlich habe ich es nicht geschafft, parallel einen guten Übergang. Aber meine Eingaben war noch nicht besonders klug in Zagreb. Aber was ich immerhin geschafft habe. Es gibt ein kleines Gedicht auf Englisch zu Git und Sicherheits problemen, die wir dort haben. Habt eine schöne Woche. An der Stelle schon mal und bis bald. Schön, dass ihr uns regelmäßig zuhört. Danke, Danke, Danke, Denis. Yes! Das ist GitHub Webhooks with Pride. Bei der Security hope we can notheit with code and commands Vetur play back data breaches we cannot final wie push pull with bad hackers in the way to sis. Aber privat repos the love to close in still our work in Erwartung but viel not for a solutions, we got to civil code safe in a lot of ication to be in double your data out of you. Soll er das ewige Land in keep it out code in the present forest future we have UIKit to keep a data life von der.

Verwandte Podcasts

  • I Phone Event 2024

    Apple iPhone 16 Lineup // Apple Watch 10 // AirPods Update

  • Lotum News Asset 34

    News 34/24: Google Pixel AI // Crowdstrike Nachlese // Alternative App Stores

  • 155 Ig Fb Luca Casonato

    Deep Dive 156 – JSR mit Luca Casonato

  • News Asset 32

    News 32/24: Google Monopol(y) // porffor // TypeScript in Node // Imports in Deno // Stack Overflow Developer Survey

  • News Asset 30

    News 30/24: Apple Vision Pro // WeAreDevelopers // CrowdStrike // Chrome 3rd Party Cookies // Flutter Day

  • News Asset 28

    News 28/24: Ladybird // Cursor // Google I/O Connect // dotenvx // window.ai

  • News Asset 26

    News 26/24: Return to Office bei Dell // EU ohne Apple Intelligence // React 19 Suspense Drama

  • News Asset 24

    News 24/24: WWDC24 // Firebase App Hosting & Data Connect // TypeScript 5.5 // Gravatar // FlutterDay

  • Wd C24 Meetup.com (1)

    WWDC 2024

  • News Asset 20

    News 20/24: GPT-4o // iOS 17.5 // Neue iPads // Bun 1.1.8 // Node.js 22

Feedback