Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Kritische Sicherheitslücke in macOS gemeldet – Google-Team und Apple kooperieren

Das "Project Zero"-Team bei Google hat sich ganz der Entdeckung von Sicherheitslücken in Google-eigener wie auch in fremder Software verschrieben. Die normale Vorgehensweise im Falle eines Fundes lautet, zunächst den Hersteller davon in Kenntnis zu setzen. Dieser hat anschließend 90 Tage lang Zeit, mit einem Sicherheitsupdate zu reagieren, bis die Sicherheitslücke dann publik gemacht wird. Schon im November kontaktierte das Team Apple, da eine besonders schwerwiegende Lücke im Kernel von macOS auffiel. Besagte Frist von drei Monaten ist vorbei, von Apple gibt es bislang keine Aktualisierung. Aus diesem Grund folgt nun der zweite Schritt, nämlich die öffentliche Bekanntgabe des Problems.


Apple arbeitet an Behebung
Apple blieb in der Zwischenzeit natürlich nicht untätig. Wie es heißt, arbeitet das Google-Team zusammen mit Apple daran, ein Update auf den Weg zu bringen. Konkret geht es um den Umgang mit gemounteten Dateisystem-Images. Unter Umgehung der Sicherheitsvorkehrungen von macOS lassen sich die Images manipulieren, ohne dass dies vom System bemerkt wird. Der Angreifer hat die Möglichkeit, nun ohne Wissen des Nutzers auf den Computer zuzugreifen.

Das genaue Missbrauchspotenzial ist unklar
In der genauen Fehlerbeschreibung samt Anleitung demonstriert ein Teammitglied, über welche Schritte sich Dateien ohne Kenntnis des Systems manipulieren lassen. Dafür ist es allerdings erforderlich, Zugriff auf den jeweiligen Computer samt normaler Nutzerrechte zu erlangen. Nur wenn der Angreifer bereits in der Lage ist, ein Programm auf dem Mac auszuführen, ließe sich die Lücke auch ausnutzen. Auch anschließend ist nicht klar, wie weitreichend das Missbrauchspotenzial ausfällt. Es scheint auch nicht so, als könne man sich Root-Rechte einräumen und damit das komplette System kapern. Hierzu wäre wesentlich mehr als der beschriebene Weg erforderlich. Die Interpretation einiger Beobachter, es handle sich um eine hochkritische Sicherheitslücke, ist dabei überdramatisiert.
iPhone 16: Welche Netzteile schnelles Laden versprechen
iPhone 16: Welche Netzteile schnelles Laden ver...
iOS 18 und iPadOS 18 lassen sich ab sofort laden
iOS 18 und iPadOS 18 lassen sich ab sofort laden
Gescheitert: iPhones von Robotern statt Arbeitern
Gescheitert: iPhones von Robotern statt Arbeite...
Gegenüberstellung: AirPods 4 vs. AirPods Pro 2
Gegenüberstellung: AirPods 4 vs. AirPods Pro 2
Eskalationskurs: ARM kündigt Qualcomm die Design-Lizenz
Eskalationskurs: ARM kündigt Qualcomm die Desig...
iOS 18, iPadOS 18, macOS 15: Das Release-Datum ist bekannt
iOS 18, iPadOS 18, macOS 15: Das Release-Datum ...
Aufpreise, Vergleich zu M3 und Spezifikationen: Das neue MacBook Pro im Detail
Aufpreise, Vergleich zu M3 und Spezifikationen:...
Vor 10 Jahren: 3 Milliarden für Beats
Vor 10 Jahren: 3 Milliarden für Beats

Kommentare

cab05.03.19 09:54
Was ist eigentlich mit älteren Versionen von MacOS, sind die langsam zu unsicher im Netz?
+2
minifan1305.03.19 10:22
cab:
Wenn Apple so weiter macht sind auch die neuen Versionen etwas unsicher im Netz...

Und die "älteren" (welche?) sollten tatsächlich nicht mehr so gaaanz unbedarft im Netz verwendet werden.
-10
Tekl05.03.19 11:16
Apple blieb in der Zwischenzeit natürlich nicht untätig.

So natürlich ist das bei Apple aber nicht.
-2
Hannes Gnad
Hannes Gnad05.03.19 11:31
minifan13
Und die "älteren" (welche?) sollten tatsächlich nicht mehr so gaaanz unbedarft im Netz verwendet werden.
Er werden vermutlich genau die Versionen gefixt, die noch im Support sind, also 10.12.6, 10.13.6 und 10.4.3.
+2
Cliff the DAU
Cliff the DAU05.03.19 11:51
10.4.3 ?
„Es gibt keine Nationalstaaten mehr. Es gibt nur noch die Menschheit und ihre Kolonien im Weltraum.“
-5
dr3do05.03.19 12:05
Cliff the DAU
10.4.3 ?
Offensichtlicher Tippfehler.
+2
tranquillity
tranquillity05.03.19 12:17
Hannes meinte natürlich 10.14.3 (=aktuelle Version)
+1
fleissbildchen05.03.19 12:33
Langsam kann ich es nicht mehr hören: Ein kritischer Fehler wird gefunden, Apple reagiert nicht, der Fehler wird veröffentlicht. Immer und immer wieder!

An Apples Stelle würde ich die PR-Abteilung grundlegend umstrukturieren.
-7
haschuk05.03.19 13:32
fleissbildchen
Langsam kann ich es nicht mehr hören: Ein kritischer Fehler wird gefunden, Apple reagiert nicht, der Fehler wird veröffentlicht. Immer und immer wieder!

An Apples Stelle würde ich die PR-Abteilung grundlegend umstrukturieren.
Langsam kann ich es nicht mehr lesen. Der geneigte Kommentator ist nicht in der Lage Informationen zu verarbeiten.

Gemäß der Meldung hat Apple nicht mit einem Sicherheitsupate innerhalb der 90 Tage reagiert. Das ist etwas grundlegend anderes wie "Apple reagiert nicht".

Tatsächlich gibt es Lücken, die nicht innerhalb von 90 Tagen behoben werden können. Gemäß der Project Zero Vorgaben kommt es dann halt trotz der Arbeit an der Lücke zur Veröffentlichung. Trifft jeden Hersteller.
+6
sierkb05.03.19 15:05
cab
Was ist eigentlich mit älteren Versionen von MacOS, sind die langsam zu unsicher im Netz?

MacGadget (05.09.2010), Interview mit Dr. Marcel Bresink, Mac-Softwareentwickler und -Experte.: "Mac OS X enthält viele, zum Teil kritische Fehler"

Insbesondere Bresinks Antworten in der 2. Hälfte des Interviews auf diese Fragen:

"MacGadget: Stichwort Sicherheit: Mac-Usern wird immer wieder vorgeworfen, in dieser Hinsicht noch nicht genügend sensibilisiert zu sein, sich zu wenig um das Thema Sicherheit zu kümmern. Wie sehen Sie das?"

MacGadget: Welche Maßnahmen sollten Mac-User Ihrer Meinung nach ergreifen, um einen Mac abzusichern?

MacGadget: Mac OS X kam im Jahr 2001 auf den Markt, inzwischen sind wir bei Version 10.6 angelangt. Wie hat sich die Betriebssystemqualität in dieser Zeit aus Ihrer Sicht entwickelt?

MacGadget: Sie sprachen bei der Vorstellung von TinkerTool System 2.3 von einigen Kinderkrankheiten im Finder von Mac OS X 10.6. Welche sind das? Und welche weiteren Fehler gibt es nach Ihrer Ansicht in Mac OS X, die Apple dringend beseitigen sollte?

MacGadget: In jüngerer Vergangenheit standen bei Apple vor allem iPad, iPhone und iOS im Mittelpunkt. Wie sehen Sie diesen Trend? Befürchten Sie, dass die Mac-Sparte und Mac OS X vernachlässigt werden?

MacGadget: Was erhoffen Sie sich von künftigen Mac OS X-Versionen sowohl aus Entwickler- als auch aus Anwendersicht?

Das Interview war im Jahre 2010. Vor fast 10 Jahren. Und ob der Kritikpunkte leider immer noch weitestgehend zutreffend und aktuell – in so mancher Hinsicht leider mehr denn je.
Interessant und vielsagend auch die Kommentare unter dem Interview.
Ein Sicherheitsexperte und Bug-Finder wie Patrick Wardle steht also nicht alleine mit seiner Kritik. Ein Sicherheitsforscher und Bug-Finder wie Linus Henze steht nicht alleine mit seiner Kritik. Ein Sicherheitsexperte und Bug-Finder wie Stefan Esser steht nicht alleine mit seiner Kritik. Ein Sicherheitsexperte, Bug-Finder und Koriphäe auf seinem Gebiet wie Ian Beer, Kopf von Googles Project Zero-Team, steht nicht alleine mit seiner Kritik. Einige andere auch, weniger Prominente, stehen nicht alleine mit ihrer Kritik. Seit Jahren.

Apple, was machst Du, was ist mit Dir bloß los?
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.