Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Verschwieg Apple Google für Monate eine Zero-Day-Sicherheitslücke in Chrome?

Je komplexer Software ist, desto einfacher schleichen sich Sicherheitslücken ein – und seit den späten 90ern haben sich Web-Browser zu sehr umfangreichen Projekten entwickelt. Hersteller stecken viel Energie in die Absicherung von Browsern – beispielsweise durch Prozess-Separation, Sandboxing und viele weitere Verfahren. So soll erreicht werden, dass selbst wenn Sicherheitsmängel auftreten, diese keine katastrophalen Auswirkungen haben. Ein Problem ist jedoch, dass die Entwickler erst einmal von Sicherheitslücken erfahren müssen, bevor diese überhaupt behoben werden können – und hier ist eine Zusammenarbeiten von Unternehmen sehr wichtig.


Googles "Project Zero" meldet regelmäßig an viele Unternehmen, unter anderem auch an Apple, sicherheitsrelevante Fehler. Doch zumindest in einem Fall scheint der umgekehrte Weg nur sehr zeitverzögert funktioniert zu haben:

Im März auf Hacker-Wettbewerb entdeckt
Ein Apple-Angestellter nahm im März 2023 am Hacker-Wettbewerb "Capture The Flag", kurz CTF, teil – und stieß auf eine Zero-Day-Lücke in Google Chrome. Bei Zero-Day-Lücken handelt es sich um Schwachstellen, welche aktuell noch nicht bekannt sind und keine Updates bereitstehen. Diese sind besonders kritisch, wenn zuerst Hacker diese Schwachstellen finden. Der Apple-Mitarbeiter entdeckte beim CTF-Wettbewerb eine solche Lücke in der WebGL-Umsetzung von Google Chrome – doch eine Meldung an Google blieb wohl für drei Monate aus.

Google mit Seitenhieb
Ein anderes Team, welches ebenfalls beim CTF-Contest teilnahm, meldete schließlich die Lücke an Google – und die Chrome-Entwickler reagierten mit einem Seitenhieb in den Update-Notzen:
This issue was reported by sisu from CTF team HXP and discovered by a member of Apple Security Engineering and Architecture (SEAR) during HXP CTF

Frei übersetzt: "Die Schwachstelle wurde von sisu des CTF-Teams HXP gemeldet und von einem Mitglied des Apple-Sicherheitsteams entdeckt." Hiermit will Google sagen, dass Apple die Lücke nicht selbst gemeldet hat, sondern dass ein Mitglied eines anderen Teams, welches ebenfalls auf dem Hacking-Wettbewerb teilnahm, Google in Kenntnis setzte.

Apple-Mitarbeiter rechtfertigt sich
TechCrunch schreibt, dass sich der Apple-Mitarbeiter des Sicherheitsteams auf einem Discord-Server diesbezüglich rechtfertigte. Er habe zwei Wochen damit verbracht, einen vollen Bericht inklusive Demonstration des Fehlers zu verfassen. Danach musste er sich von diversen Managern Freigaben einholen – und dies habe die Meldung um drei Monate auf den 5. Juni verzögert. Außerdem will das Mitglied des Apple-Sicherheitsteams keine echte Dringlichkeit gesehen haben: Da der Hack nicht auf Android-Geräten ausführbar ist und auf PCs wie auch Macs die Nutzeroberfläche für einige Sekunden hängt, sei die Gefahr eines echten Angriffs sehr gering.

Kommentare

Embrace21.07.23 12:23
Billige Rechtfertigung muss man sagen. Wenn man Sicherheit als so wichtig ansieht, sollte man hier auch ohne große Umschweife mit anderen Unternehmen zusammenarbeiten – vom einfachen Melden ganz abgesehen!

Und es gibt ja nun nicht wenige Macuser, die Chrome verwenden.
+3
LoCal
LoCal21.07.23 13:47
Embrace
Billige Rechtfertigung muss man sagen. Wenn man Sicherheit als so wichtig ansieht, sollte man hier auch ohne große Umschweife mit anderen Unternehmen zusammenarbeiten – vom einfachen Melden ganz abgesehen!

Und es gibt ja nun nicht wenige Macuser, die Chrome verwenden.

Billige Rechtfertigung von wem?
Was kann der Apple-Mitarbeiter für (übertriebene) Kommunikationsrichtlinien von Apple?
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
-1
strateg
strateg21.07.23 18:06
er hätte es ja einfach anonym oder als privatperson melden können
cuntentientscha, attentivitad, curaschi —
0
fleissbildchen21.07.23 21:17
strateg
er hätte es ja einfach anonym oder als privatperson melden können

Und sich dem Risiko einer Abmahnung aussetzen?!
0
yessando23.07.23 17:57
fleissbildchen
strateg
er hätte es ja einfach anonym oder als privatperson melden können

Und sich dem Risiko einer Abmahnung aussetzen?!

this
-1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.