Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

SSL-Bug betrifft diverse Apps wie Mail, iMessage und FaceTime

Der sogenannte SSL-Bug von Apple-Produkten verunsichert seit Freitag viele Anwender – nun sind neue Details zum Ausmaß der Sicherheitslücke bekannt geworden. Demnach ist nicht nur Apples Browser Safari betroffen, sondern sämtliche Programme, die Daten über das SSL/TLS-Protokoll versenden bzw. empfangen – darunter FaceTime, iMessage, Twitter, Calendar, Keynote, Mail, iBooks, Software Update und einige mehr.


Zwar stellen Apps wie FaceTime und iMessage potentiellen Angreifern mehr Hürden als nur die SSL-Verbindung, aber bereits der iCloud-Login eines Nutzers zur Authentifizierung der genannten Apps könnte von Hackern gekapert worden sein. Zudem seien andere Teile des Protokolls ebenso betroffen – darunter der sogenannte Handshake zwischen Dienst und Gerät. Über den Man-In-The-Middle-Angriff positioniert sich ein Angreifer zwischen zwei oder mehr Kommunikationspartnern, um deren Informationsaustausch einzusehen und zu manipulieren.

Ob der eigene Rechner betroffen ist lässt sich auf gotofail.com testen – vorausgesetzt, der User ruft die Seite über Safari auf. Bis Apple einen Fix für das Problem herausbringt, sollten Mac-Nutzer ungeschützte oder zwielichtige WLAN-Verbindungen meiden, da es Angreifern möglich ist, auch über gesicherte SSL-Verbindungen die Kommunikation zwischen zwei oder mehr Stellen abzufangen. Für iOS hat das Unternehmen aus Cupertino bereits am Freitag ein Sicherheitsupdate veröffentlicht.

Weiterführende Links:
iOS 18: RCS auf dem iPhone nutzen – Kompatibilität, Netzanbieter, Funktionen
iOS 18: RCS auf dem iPhone nutzen – Kompatibili...
Musikbranche verklagt KI-Anbieter
Musikbranche verklagt KI-Anbieter
iPhone 16 Pro in Einzelteilen – Details zum Aufbau und zum neuen Modem
iPhone 16 Pro in Einzelteilen – Details zum Auf...
Test AirPods Pro 2
Test AirPods Pro 2
Mac mini mit M4
Mac mini mit M4
Qualitätsprobleme bei MacBook-Displays: Apple tauscht Zulieferer aus, fing Charge aber ab
Qualitätsprobleme bei MacBook-Displays: Apple t...
iPhone 16 Pro
iPhone 16 Pro
iPhone 16 Pro: Tippen oder Wischen ignoriert, Nutzer melden Touchscreen-Fehlverhalten
iPhone 16 Pro: Tippen oder Wischen ignoriert, N...

Kommentare

soleil
soleil24.02.14 09:05
Nervt. Und immer noch kein Update raus...geht mal gar nicht sowas.
0
borisbojic
borisbojic24.02.14 09:07
Bis bei M$ ein Update für solche Probleme raus kam, sind teilweise Monate und Jahre vergangen.

Also halt mal die Füße still
0
guzzitee
guzzitee24.02.14 09:10
"Für iOS hat das Unternehmen aus Cupertino bereits am Freitag ein Sicherheitsupdate veröffentlicht."

Nur für ein paar wenige OS Geräte, auch nicht für alle. Alle die lieber iOS 6.xx haben werden vernachlässigt.
0
gorgont
gorgont24.02.14 09:12
guzzitee
"Für iOS hat das Unternehmen aus Cupertino bereits am Freitag ein Sicherheitsupdate veröffentlicht."

Nur für ein paar wenige OS Geräte, auch nicht für alle. Alle die lieber iOS 6.xx haben werden vernachlässigt.

Wieso? Es gibt doch ein 6.1.6 Update dass den SSL Bug beheben soll.
touch eyeballs to screen for cheap laser surgery
0
belorofon
belorofon24.02.14 09:14
Jetzt in diesem Moment schubsen zig Programmierer Nullen und Einsen zusammen, um das zu fixen. Ein gutes Gefühl.
0
Maniacintosh
Maniacintosh24.02.14 09:16
gorgont
Wieso? Es gibt doch ein 6.1.6 Update dass den SSL Bug beheben soll.

Das rückt Apple aber nur für Geräte raus, die kein iOS 7 unterstützen. Ist man mit seinem iPhone 4, 4S oder 5 z.B. bei iOS 6 geblieben, gibt es von Apple keinen Fix für diese Lücke...
0
sierkb24.02.14 09:17
borisbojic:

Seit wann orientieren wir uns an denen, die es (in der Vergangenheit) noch schlechter gemacht (inzwischen aber erfreulicherweise hinzugelernt) haben? Warum nicht stattdessen an denen orientieren, die es besser machen als man selber oder noch erstrebenswerter: sich bei denen an die Spitze setzen und eigene, positive Standards setzen in puncto Code Review, Reaktionszeit und Auslieferung der Sicherheitspatches in Richtung Nutzer/Kunden? Da ist diesbzgl. noch sehr viel Verbesserungsbedarf und Luft nach oben bei Apple.

Alles eine Sache der Prioritätensetzung und ob man es mit dem Thema Sicherheit dort wirklich ernst nimmt oder eher nicht so sehr und bei Apple andere Dinge eine höhere Priorität eingeräumt bekommen (was ja schon seit Jahren von verschiedener Seite bemängelt und angemahnt wird und Apple daran offenbar nicht wirklich was geändert hat bisher).
0
quiddemanie24.02.14 09:18
borisbojic
Bis bei M$ ein Update für solche Probleme raus kam, sind teilweise Monate und Jahre vergangen.

Also halt mal die Füße still

Ich zitiere mbh aus der News von vor 2 Tagen:
Immer dann, wenn man bei Apple Fehler macht, verlieren die Firma und deren Produkte ihren einzigartigen Leumund und werden mit jenen Firmen und Produkten verglichen, die ansonsten gern als "billig" oder "unwürdig" bezeichnet werden. Insofern ist das Argument eigentlich eines kontra Apple: Wenn in den Produkten die selben Schwachstellen und Probleme enthalten sind, wie in allen anderen, entpuppt der stets zu rechtfertigende, höhere Preis doch umso mehr als unangemessen. Ich weiß, dass ich etwas polemisiere, aber ich kaufe und benutze meine iToys durchaus auch, weil ich ein gewisses Gefühl der Sicherheit hinein projiziere. Wenn Apple nun aber, trotz Einschränkungen und höheren Preises, dieselben Fehler macht, wie Google, dann ist ein wichtiges Alleinstellungsmerkmal plötzlich dahin. Insofern beinhaltet dein Kommentar: Kauf kein Apple!
0
soleil
soleil24.02.14 09:21
Dieser Fehler macht Mac OS offen wie eine Scheunentor, da dürfen keine Monate vergehen bis das gefixt wird.
0
sierkb24.02.14 09:28
quiddemanie,
soleil:

+1

Übrigens bietet die deutsche Firma SektionEins seit 2 Tagen einen inoffiziellen Patch an, solange Apple keinen offiziellen zur Verfügung stellt:

SektionEins: Apple OSX Mavericks 10.9.x SSL Key Exchange Verification Vulnerability (CVE-2014-1266) (Verwendung auf eigene Gefahr, schreibt SektionEins selber).

Warum kann SektionEins bereits übers Wochenende einen Patch anbieten, und Apple hingegen lässt sich da noch Zeit? Warum bekomme ich diesen Patch nicht schon längst von Apple offiziell über die Softwareaktualisierung angeboten als gerade unbedingten Notfall-Patch? Scheiß auf das anstehende 10.9.2, dieser Patch ist grad' wichtiger und hat Vorrang!

Prioritätensetzung! Nicht erst groß sammeln. Raus mit den Patches zum Anwender! Damit dieser schnellstmöglichst geschützt ist bzw. nicht unnötig lange ungeschützt! Jeder Tag, jede Stunde, jede Minute zählt da in solchen Fällen bzw. bei einem kritischen Bug mit solch großer Tragweite.
0
Stereotype
Stereotype24.02.14 09:30
soleil
Dieser Fehler macht Mac OS offen wie eine Scheunentor, da dürfen keine Monate vergehen bis das gefixt wird.

Das kann man so nicht pauschalisieren und verkürzen.
0
quiddemanie24.02.14 09:35
Stereotype
soleil
Dieser Fehler macht Mac OS offen wie eine Scheunentor, da dürfen keine Monate vergehen bis das gefixt wird.

Das kann man so nicht pauschalisieren und verkürzen.

Stimmt man kann es auch lang und breit schreiben
Der sogenannte SSL-Bug von Apple-Produkten verunsichert seit Freitag viele Anwender – nun sind neue Details zum Ausmaß der Sicherheitslücke bekannt geworden. Demnach ist nicht nur Apples Browser Safari betroffen, sondern sämtliche Programme, die Daten über das SSL/TLS-Protokoll versenden bzw. empfangen – darunter FaceTime, iMessage, Twitter, Calendar, Keynote, Mail, iBooks, Software Update und einige mehr.

Oder man nennt es einfach offen wie ein Scheunentor.
0
Marcel_75@work
Marcel_75@work24.02.14 09:35
Dieser "bug" sieht so dermaßen nach "absichtlich implementiert" aus (durch Druck seitens NSA & Co.), dass es wirklich sehr schwer fällt, das als "Flüchtigkeitsfehler eines einzelnen Programmierers" durchgehen zu lassen (zumal diese Art von Fehlern mit den heutigen technischen Mitteln bei einem Code Review sofort auffallen würden).

Wenn so etwas schon in den Open Source Bereichen von OS X schlummert, möchte man sich gar nicht ausmalen, wie es im Closed Source Bereich aussieht, ich sag nur "Keychain Access" ...
0
Forumposter24.02.14 09:36
sierkb

SektionEins: Apple OSX Mavericks 10.9.x SSL Key Exchange Verification Vulnerability (CVE-2014-1266) (Verwendung auf eigene Gefahr, schreibt SektionEins selber).

Warum kann SektionEins bereits übers Wochenende einen Patch anbieten, und Apple hingegen lässt sich da noch Zeit?

Weil sich Apple für die Millionen Geräte die da draußen sind kein "Verwendung auf eigene Gefahr" leisten kann?!
0
Forumposter24.02.14 09:38
Marcel_75@work
Dieser "bug" sieht so dermaßen nach "absichtlich implementiert" aus (durch Druck seitens NSA & Co.), dass es wirklich sehr schwer fällt, das als "Flüchtigkeitsfehler eines einzelnen Programmierers" durchgehen zu lassen.
Da wird demnächst jemand öffentlich "verbrannt". Die Masse ist beruhigt und die Welt dreht sich weiter.
Brot und Spiele der Neuzeit. Bevölkerung dumm halten eben...
0
sierkb24.02.14 09:41
Forumposter
Weil sich Apple für die Millionen Geräte die da draußen sind kein "Verwendung auf eigene Gefahr" leisten kann?!

Schau Dir den Fehler an, er ist im Grunde trivial zu patchen. DAS kann Apple innerhalb kürzester Zeit leisten, ohne groß was falsch zu machen und groß Risiken einzugehen. Aufwand: sehr gering, Sicherheitsgewinn: enorm.

Es gibt da keine Ausrede.
0
sierkb24.02.14 09:49
Marcel_75@work
Dieser "bug" sieht so dermaßen nach "absichtlich implementiert" aus (durch Druck seitens NSA & Co.), dass es wirklich sehr schwer fällt, das als "Flüchtigkeitsfehler eines einzelnen Programmierers" durchgehen zu lassen (zumal diese Art von Fehlern mit den heutigen technischen Mitteln bei einem Code Review sofort auffallen würden).

Oder es wirft ein Licht auf Apples Sorgfalt bzw. lässt strukturelles Versagen und strukturelle Schlampigkeit erahnen.
Wenn so etwas schon in den Open Source Bereichen von OS X schlummert, möchte man sich gar nicht ausmalen, wie es im Closed Source Bereich aussieht

+1

Siehe dazu auch John Gruber in seinem letzten Satz:
0
Spatenheimer2
Spatenheimer224.02.14 09:56
borisbojic
Bis bei M$ ein Update für solche Probleme raus kam, sind teilweise Monate und Jahre vergangen.

Na das beruhigt mich als Macuser ja ungemein.
No dynamite, chainsaws or shotguns.
0
Stereotype
Stereotype24.02.14 10:14
quiddemanie

Der sogenannte SSL-Bug von Apple-Produkten verunsichert seit Freitag viele Anwender – nun sind neue Details zum Ausmaß der Sicherheitslücke bekannt geworden. Demnach ist nicht nur Apples Browser Safari betroffen, sondern sämtliche Programme, die Daten über das SSL/TLS-Protokoll versenden bzw. empfangen – darunter FaceTime, iMessage, Twitter, Calendar, Keynote, Mail, iBooks, Software Update und einige mehr.

Oder man nennt es einfach offen wie ein Scheunentor.

Genau, wenn man sich nur Oberflächlich mit dem Thema befasst, kommt man zu diesem Ergebnis.
0
chessboard
chessboard24.02.14 10:26
Marcel_75@work
Dieser "bug" sieht so dermaßen nach "absichtlich implementiert" aus (durch Druck seitens NSA & Co.), dass es wirklich sehr schwer fällt, das als "Flüchtigkeitsfehler eines einzelnen Programmierers" durchgehen zu lassen (zumal diese Art von Fehlern mit den heutigen technischen Mitteln bei einem Code Review sofort auffallen würden).

Wenn so etwas schon in den Open Source Bereichen von OS X schlummert, möchte man sich gar nicht ausmalen, wie es im Closed Source Bereich aussieht, ich sag nur "Keychain Access" ...

Mit scheint das ganze Vorgehen zu "blöd" um hinter diesem Fehler Absicht zu vermuten. Warum sollte Apple einen Fehler, der auf Wunsch der NSA "installiert" wurde, mit einem Update wieder beheben? Warum sollte dieser Fehler gerade im OpenSource-Teil des OS eingebaut werden? Warum sollte Apple den Imageverlust (Inkompetenz) in Kauf nehmen, um der NSA dienlich zu sein?

Wenn die NSA tatsächlich Backdoors installieren lässt — was wohl leider anzunehmen ist — dann bestimmt nicht im quelloffenen Teil des Systems, wo sie früher oder später entdeckt werden.

Es ist allerdings ziemlich egal, was nun genau passiert ist — der Imageschaden ist auf jeden Fall da.
0
BudSpencer24.02.14 10:36
borisbojic
Bis bei M$ ein Update für solche Probleme raus kam, sind teilweise Monate und Jahre vergangen.

Also halt mal die Füße still


Stimmt doch nicht, Microsoft Patch seit Jahren "Kritische" Sicherheitslücken sehr schnell.
Außerdem interessiert es mich nicht wie andere Patchen, sondern wie das Betriebsystem das ich einsetzte.

Und Füsse Still halten bringt einen nichts wenn man angegriffen wird.
0
barabas24.02.14 11:05
soleil
Dieser Fehler macht Mac OS offen wie eine Scheunentor, da dürfen keine Monate vergehen bis das gefixt wird.


Richtig, schon vor allem deshalb weil ja schon Monate vergangen sind seitdem Maveriks auf die User losgelassen wurde. Ich frage mich eh warum solche Fehler in dieser gravierender Form passieren. Gerade im Punkt Sicherheit vor dem Hintergrund immer weiter wachsender Internetkriminalität sollten sich hier die Verantwortlichen doch etwas mehr darum kümmern und nicht nur darauf bedacht sein ihre OS Versionen so schnell wie möglich zu verteilen nur um schneller als die Konkurrenz zu sein. Schon Steve Jobs sagte in den letzten Jahren das das Tempo 1x im Jahr ein grosses Update zu bringen nicht zu halten ist, warum hat dies sein Nachfolger wieder geändert ?
Es ist schon schlimm genug das man sich ansonsten schon mit Bugs in den Betriebssystemen herumschlagen muss die längst bekannt sind aber immer noch nicht gefixt wurden, und einige davon warscheinlich nie gefixt werden (können ?!)
0
sierkb24.02.14 11:11
heise (24.02.2014): "Ein Sicherheitsdesaster": Hintergründe zu Apples schwerwiegendem SSL-Problem
Der Sicherheitsforscher Stefan Esser spricht im Interview mit Mac & i über die am Freitag bekanntgewordene Verschlüsselungslücke in iOS und OS X und ihre Hintergründe.

heise Interview (24.02.2014): SSL-Lücke in iOS und OS X: "Ein Sicherheitsdesaster"
Hintergründe zu Apples schwerwiegender SSL-Lücke
Der Sicherheitsforscher Stefan Esser spricht im Interview mit Mac & i über die am Freitag bekanntgewordene Verschlüsselungslücke in iOS und OS X und ihre Hintergründe
0
Megaseppl24.02.14 11:50
sierkb
Warum kann SektionEins bereits übers Wochenende einen Patch anbieten, und Apple hingegen lässt sich da noch Zeit? Warum bekomme ich diesen Patch nicht schon längst von Apple offiziell über die Softwareaktualisierung angeboten als gerade unbedingten Notfall-Patch?
Das erklärt der Chef von SektionEins selbst:
http://www.heise.de/mac-and-i/artikel/SSL-Luecke-in-iOS-und-OS-X-Ein-Sicherheitsdesaster-2121951.html
[quote}Prioritätensetzung! Nicht erst groß sammeln. Raus mit den Patches zum Anwender!
[/quote]
Auch ein Patch muss zunächst getestet werden. Da Apple genau dies anscheinend nach dem angeblichen Merge der sslKeyExchange-Klasse der iOS- und der OS X-Version nicht ausreichend getan hat, muss mehr gemacht werden als die eine Zeile zu entfernen. Das ganze Testing dieser enorm wichtigen Klasse ist anscheinend unzureichend implementiert, Compiler-Warnungen sind zu lasch eingestellt (oder werden ignoriert)... da stimmt schon was im Fundament nicht - sonst wäre es dazu nicht gekommen.

Ich habe mir die ganze Klasse angeschaut... bei der Art und Weise wie sie programmiert wurde, wie uneinheitlich die Tab-Einzüge verwendet wurden, wie mit goto gearbeitet wurde... da ist es kein Wunder dass der Fehler erst so spät aufgefallen ist. Auch halte ich das Weglassen der geschweiften Klammern bei if-Abfragen generell für grenzwertig... ich weiss dass es viele machen... aber genau dies führt sehr schnell zu Fehlern wenn die Tabs auch nicht korrekt sind.
Und das Ganze obwohl der Code OpenSource ist... ich will nicht wissen wie oft Fehler wie dieser in Code auftaucht der nicht öffentlich zugänglich ist.
0
Megaseppl24.02.14 11:56
BudSpencer
Stimmt doch nicht, Microsoft Patch seit Jahren "Kritische" Sicherheitslücken sehr schnell.
Geht so... teilweise dauert es einige Wochen bis kritische Patches von MS kommen. Wir mussten in der Vergangenheit unseren Anwendern immer wieder z.B. den Einsatz des IE verbieten weil die Patches auf sich warten ließen.
0
sierkb24.02.14 12:19
MegaSeppl:

Ja und Nein. Esser sagt auf eine entsprechende Frage:
Mac & i: Sie haben selbst einen Patch für OS X geschrieben, während Apple noch an diesem arbeitet. Warum braucht Apple so lange?

Esser: Dieser Fehler kann auf Seiten von Apple behoben werden, indem eine Zeile Code entfernt und das Programm neu kompiliert wird. Dies hört sich erst einmal nicht nach viel Arbeit an und ist viel weniger Aufwand als die Entwicklung des Binärpatches.

Aber eine Firma wie Apple kann es sich nicht leisten, die Zeile zu entfernen, neu zu kompilieren und dann ein Update zu pushen. Sie müssen sowohl den einzeiligen Patch als auch die komplette Auslieferungmethode bei jedem Release auf verschiedener Hardware testen, um sicherzustellen, dass sie keine Produktivsysteme kaputt machen. Das hört sich zwar für einen Außenstehenden für eine Zeile Code überzogen an, aber letztendlich war es auch nur eine Zeile Code, die zu diesem Sicherheitsdesaster geführt hat.

Interessant ist hier nur, warum Apple nicht iOS und OS X gleichzeitig gepatcht hat. Wäre es meine Entscheidung gewesen, dann hätte ich nur gleichzeitig gepatcht, da es mittlerweile ein Sport ist, binäre Sicherheitspatches zu analysieren und die Verwundbarkeiten daraus zu extrahieren. Und dabei rede ich nur von denen, die das wirklich als Sport betrachten und nicht denen, die dafür bezahlt werden, weil Exploits ihr Geschäft sind.
[..]
Mac & i: Der Code für das entsprechende Framework liegt quelloffen vor. Hätte man ihn so nicht vergleichsweise leicht entdecken können?

Esser: Ich habe gerade nochmals nachgeschaut. Der Quelltext von OS X Mavericks wurde am 24. Oktober 2013 veröffentlicht. Das heißt: Bis heute sind gerade einmal vier Monate vergangen. Der CVE-Eintrag für die SSL-Verwundbarkeit wurde laut Berichten schon am 8. Januar von Apple reserviert. Also scheint Apple knapp 2,5 Monate nach der Veröffentlichung der Quellen von der Verwundbarkeit erfahren zu haben. Sie haben diesmal niemandem für diese Lücke gedankt. Das kann heißen, dass derjenige entweder nicht genannt werden möchte, oder aber dass die Lücke intern gefunden wurde. Bisher gab es glaube ich noch keine Aussage dazu.

Und am Schluss des Interviews sagt Esser:
Mac & i: Wie bewerten Sie Apples Reaktionsgeschwindigkeit?

Esser: Neutral formuliert kann man sagen, dass Apple unter Sicherheitsforschern nicht als Musterbeispiel für Reaktionsgeschwindigkeit gilt.


Kein Grund also, Apple hier kritiklos zu entlassen und zu schnell in Schutz zu nehmen: sie wussten lange genug von dem Bug bzw. der großen Sicherheitslücke, die dieser reißt, haben lange genug drauf gesessen, patchen können und ausführlich testen können.
0
Dieter24.02.14 12:21
Unter OS X ist nur Maverics (10.9.x) betroffen. Unter OS X 10.8.5 ist dieser Bug nicht vorhanden.

Wer kein iOS 7 auf einem iOS 7 fähigen Gerät haben will, weil z.B. wensentliche Funktionen in der Musik-App fehlen (Kapitelliste, kapitel-scrubbing), der bekommt kein offizielles 6.1.6 von Apple. Einzige Lösung wäre Jailbreak und den SSLfix von Cydia installieren. (iOS 7 ist keine Option)
0
Dayzd24.02.14 12:32
Da lob ich doch gleich mal mein 10.6.8
0
Thomas Kaiser
Thomas Kaiser24.02.14 13:08
Dayzd
Da lob ich doch gleich mal mein 10.6.8

Lob ruhig. Aber denk irgendwann mal... naja lieber früher als später... über den Inhalt dieser Auflistung nach: http://support.apple.com/kb/HT6011?viewlocale=de_DE

Kleiner Tipp: 10.9 ist irgendwie auch ein kombiniertes Security-Update für 10.6.8, 10.7.5 und 10.8.5. Ganz schön blöd, oder?

Ob Dich das mit 10.6.8 betrifft? Nachgucken: einzeln die CVE-Nummern googlen und schauen, ob zu jeder der Nummern ein Eintrag bzgl. Verwundbarkeit von 10.6.8 existierte und falls ja ob ein Security-Update von Apple rausgekommen ist (vielleicht von hier aus simpler: . Viel Spaß
0
Megaseppl24.02.14 13:11
sierkb
MegaSeppl:

Ja und Nein. Esser sagt auf eine entsprechende Frage:
Mac & i: Sie haben selbst einen Patch für OS X geschrieben, während Apple noch an diesem arbeitet. Warum braucht Apple so lange?

Esser: Dieser Fehler kann auf Seiten von Apple behoben werden, indem eine Zeile Code entfernt und das Programm neu kompiliert wird. Dies hört sich erst einmal nicht nach viel Arbeit an und ist viel weniger Aufwand als die Entwicklung des Binärpatches.

Aber eine Firma wie Apple kann es sich nicht leisten, die Zeile zu entfernen, neu zu kompilieren und dann ein Update zu pushen. Sie müssen sowohl den einzeiligen Patch als auch die komplette Auslieferungmethode bei jedem Release auf verschiedener Hardware testen, um sicherzustellen, dass sie keine Produktivsysteme kaputt machen. Das hört sich zwar für einen Außenstehenden für eine Zeile Code überzogen an, aber letztendlich war es auch nur eine Zeile Code, die zu diesem Sicherheitsdesaster geführt hat.

Interessant ist hier nur, warum Apple nicht iOS und OS X gleichzeitig gepatcht hat. Wäre es meine Entscheidung gewesen, dann hätte ich nur gleichzeitig gepatcht, da es mittlerweile ein Sport ist, binäre Sicherheitspatches zu analysieren und die Verwundbarkeiten daraus zu extrahieren. Und dabei rede ich nur von denen, die das wirklich als Sport betrachten und nicht denen, die dafür bezahlt werden, weil Exploits ihr Geschäft sind.
[..]
Mac & i: Der Code für das entsprechende Framework liegt quelloffen vor. Hätte man ihn so nicht vergleichsweise leicht entdecken können?

Esser: Ich habe gerade nochmals nachgeschaut. Der Quelltext von OS X Mavericks wurde am 24. Oktober 2013 veröffentlicht. Das heißt: Bis heute sind gerade einmal vier Monate vergangen. Der CVE-Eintrag für die SSL-Verwundbarkeit wurde laut Berichten schon am 8. Januar von Apple reserviert. Also scheint Apple knapp 2,5 Monate nach der Veröffentlichung der Quellen von der Verwundbarkeit erfahren zu haben. Sie haben diesmal niemandem für diese Lücke gedankt. Das kann heißen, dass derjenige entweder nicht genannt werden möchte, oder aber dass die Lücke intern gefunden wurde. Bisher gab es glaube ich noch keine Aussage dazu.

Und am Schluss des Interviews sagt Esser:
Mac & i: Wie bewerten Sie Apples Reaktionsgeschwindigkeit?

Esser: Neutral formuliert kann man sagen, dass Apple unter Sicherheitsforschern nicht als Musterbeispiel für Reaktionsgeschwindigkeit gilt.
Kein Grund also, Apple hier kritiklos zu entlassen und zu schnell in Schutz zu nehmen: sie wussten lange genug von dem Bug bzw. der großen Sicherheitslücke, die dieser reißt, haben lange genug drauf gesessen, patchen können und ausführlich testen können.
Nein, es macht keinen Sinn hier Apple in Schutz zu nehmen.
Allerdings glaube ich nicht dass Apple bereits im Januar gewusst/verstanden hat welche Auswirkungen der Fehler hat. Ansonsten wäre der Fix schon längst in den Beta-Versionen von 10.9.2 implementiert worden (bzw. schon längst als Sicherheitsupdate herausgekommen). Das Datum eines Eintrags in einem internen Bugtrackers bedeutet nicht viel. Dort steht erstmal nur drin dass es ein Problem gibt - welches sich auch sehr explizit und unwichtig/selten auftretend anhören kann. Die Priorität wurde vermutlich als niedrig eingestuft.
Erst wenn man der Ursache des Problems auf den Grund geht offenbart sich in diesem Fall wie weit das Problem reicht.
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.