Hallo zusammen,

es geisterte ja schon durch einige Portale – heute habe ich es mir von einer bei Apple angestellten iOS Security-Expertin (Nina aka "Ms Z") am Rande der "MacSysAdmin"-Konferenz in Göteborg auch noch einmal persönlich bestätigen lassen:

Leider sind einige Sicherheitslücken in OS X, die mit der Veröffentlichung von 10.12 "Sierra" geschlossen wurden, in 10.10.5 "Yosemite" wie auch 10.11.6 "El Capitan" nach wie vor offen!



Sie bestätigte mir außerdem, dass diese Lücken bald durch ein separates Security-Update für Yosemite und El Capitan geschlossen werden (wenn alles klappt zeitgleich mit der Veröffentlichung von macOS 10.12.1).

Es ist natürlich gut, dass Apple daran arbeitet … trotzdem wäre mir (und vielen anderen sicher ebenso) ein mit der Veröffentlichung von 10.12 zeitgleich erscheinendes, passendes Sicherheits-Update für 10.10.5 und 10.11.6 lieber gewesen.

Nebenbei bemerkt: Sicher nicht zufällig erwähnte Sie während Ihrer Präsentation auch, dass Linux-Distributoren zwar oft innerhalb weniger Stunden bzw. Tage bei Sicherheitslücken reagieren, dann oftmals aber etwas am anderen Ende "broken" ist, weil nicht ausreichend getestet wurde. Und Apple mag zwar manchmal (ich würde eher sagen: grundsätzlich) länger brauchen für security-fixes, dafür sei es aber auch umfänglicher getestet.

Ist nachvollziehbar, aber ein unangenehmer Beigeschmack bleibt …

Danke für die Info.

Wenn man sich die Menge der in Sierra gefixten Sicherheitslücken ansieht, wäre Sierra als Sicherheitsupdate für Yosemite und El Capitan vielleicht für Apple wirtschaftlicher gewesen. Das setzt aber voraus, dass Marketing mit Sicherheitsbereich spricht und nicht ganze Rechnerfamilien ausgeschlossen werden.

Da ich schon mehrmals per "private message" angeschrieben wurde:

Nein, die Präsentation wie auch die Slides von "Ms Z" gibt es nicht online.

Aber interessanter war sowieso "UPGRADE, NOW!" von Jonathan Levin (Apple sollte ihn anheuern).

A history of OS X hacks. Jonathan will give a detailed explanation of past vulnerabilities in OS X - against which no security product would help. How is it that hackers can infiltrate a system, without directly knowing or even needing the root password? Details of actual past hacks, with examples, will be provided.
Join Jonathan in this session where we learn from the past to secure the future.

So neu ist das Vorgehen von apple auch nicht:

Schon mit dem Release von El Cap kam damals (erstmalig) auch nur Safari 9 für Yosemite und Mavericks raus. Und zum ersten Mal war die Versionsnummer für Safari bei allen supporteten OS gleich.
Zuvor lief auch das anders:
Safari 8 gabs damals nur für Yosemite. Die entsprechenden Safari fixes für Maverics hiessen z.b 7.1.x
Erst mit 10.11.1 kamen die Sec Hotfixes für die restlichen Fixes 10.9.5 und 10.10.5 hinterher.
Genau wie jetzt bei sierra.

Meine Vermutung:
Es wurden die internen Prozess bei apple umgestellt. Man konzentriert sich primär auf die neue OS Version, erst nach der VÖ mit dem ersten Wartungsrelease werden die Backports für die Fixes für die älteren Releases angegangen. Safari "tickt" anders/separat, warum auch immer.
Und das schon bei/seit El Cap. Und erst bei Sierra fällts einigen so richtig auf.

Der Vollständigkeit halber hier nun Links zu den Sicherheits-Updates:

Security Update 2016-006 für 10.10.5:

Security Update 2016-002 für 10.11.6:

Es ist wohl leider so, dass einige Lücken mit diesen Security-Updates nicht gefixt wurden – 10.12.1 Sierra wird von Apple nach wie vor als "Sicherheits-Update für 10.10 und 10.11" gehandelt.