Google legt Sicherheitslücken in OS X offen (Update)

23. Jan. 2015 19:00 Uhr - sw

Google hat Details zu drei Sicherheitslücken in OS X veröffentlicht. Die Fehler seien bereits vor drei Monaten an Apple gemeldet worden. Da der Mac-Hersteller jedoch nicht innerhalb der üblichen 90-Tages-Frist für neu entdeckte Schwachstellen reagiert habe, sei nun die Offenlegung erfolgt, so Google.


OS X Yosemite

OS X: Google legt drei Sicherheitslücken offen.
Bild: Apple.



Laut einem Bericht von Ars Technica sollen die Sicherheitslücken nicht hochgradig kritisch sein, da zu deren Ausnutzung bereits ein Systemzugang vorhanden sein muss. Allerdings bestehe die Gefahr, dass die Bugs zusammen mit anderen Schwachstellen für Attacken genutzt werden und Angreifer so die Kontrolle über einen Mac erlangen könnten. Welche OS-X-Versionen betroffen sind, ist unklar. Von Apple gibt es zu dem Thema bislang keine Stellungnahme. Workarounds sind keine bekannt, Mac-Usern bleibt derzeit nichts anderes übrig, als auf ein Update zu warten, das die Sicherheitslücken schließt.

Ähnlich ist Google kürzlich bei Microsoft verfahren. Es wurden drei Sicherheitslücken in Windows offengelegt, da Microsoft diese nicht innerhalb der Dreimonatsfrist geschlossen hat.

Nachtrag (19:30 Uhr): Nach Informationen von iMore wurden die drei Sicherheitslücken in OS X 10.10.2 geschlossen. Das Betriebssystemupdate befindet sich seit November im Betatest, die Finalversion wird für die nahe Zukunft erwartet.

Kommentare

Alle Entwickler für Apple Watch eingeteilt, oder wie?

Es ist schlichtweg hochgradig peinlich für Apple, wenn gemeldete Sicherheitslücken nicht innerhalb von drei Monaten geschlossen werden. Wozu gibt Apple eigentlich mehrere Mrd. $ pro Jahr für Forschung und Entwicklung aus?

Damit sind wir wieder beim Thema Qualität von Apple Software. In der Abteilung gehört IMHO mal ordentlich aufgeräumt. Kein Mensch braucht jedes Jahr ein neues, verbuggtes OS. Jeder User wünscht sich hingegen flotte Behebung von Sicherheitslücken und Bugs.

10.10.2 soll die Sicherheitslücken also schließen. Nun denn, mal schauen wann das Update kommt. Frühling?

im Frühjahr wird 10.11 angekündigt, nicht gefixt. Ich hoffe, dafür gibt es dann viele Releases, denn ich würde gerne 10.11.12 erleben ;) Als Name schlage ich Death Valley vor.

.... dass Google sich zum Polizisten aufspielt, wo sie doch Android produzieren, was eine einzige Sicherheitslücke ist. Hoffentlich stoppt die bald mal jemand.

Google scheint mir nach eigenen Erfahrungen in puncto Sicherheit weit schwächer als Apple.
Gestern erhielt meine Frau eine verseuchte Mail von "paypal" mit einer suspekten jar-File.
Eigentlich klare Sache, Absender nicht paypal.com, nur 1 dubiose jar als Anhang, kein Text.
Ich verstehe nicht, warum Google Mail, diese Dinge nicht bereits als Spam abfängt und all dies durchlässt.
Die Warnung kam erst vom Mac und zum Glück öffnet der Mac auch solche Applets nicht so ohne Weiteres.

Die erwähnten Sicherheitslücken waren teilweise bereits von Projekt Zero selbst als "fixed" abgehackt (z.B. 130 oder 121, fixed as of Jan 8) geistern aber noch durch die Foren. Nichts gegen Kommentare, aber man könnte vielleicht von Seiten des Betreibers Meinungen und Sachinformationen als getrennte Kategorien anbieten und ausweisen, sonst wird es allmählich zu unübersichtlich. Das würde dann evtl. auch wieder mehr Sachkenner als Kommentatoren anziehen und die Nutzerfreundlichkeit für diejenigen erhöhen, die eine rasche sachliche Orientierung suchen.

Man sollte bei solchen Meldungen nie vergessen, dass Google ein Erzfeind von Apple ist. Oder umgekehrt. Seit Jahren herrscht da sowas wie ein konzertierter Angriffskrieg.

[quote=Waldknoblauch]Sollen mal zuerst ihre Hintertüren zur kriminellen NSA stopfen.[/quote]

Das ist nicht realistisch. Es sind auch keine Hintertüren, sondern die Lieferung erfolgt frei Haus über den Haupteingang. Daran wird sich auch nichts ändern. Ganz im Gegenteil. Die Geheimdienste haben es ja sogar geschafft, dass wir Bürger uns freiwillig mit immer mehr modernster Überwachungstechnik ausstatten: Smartphones, Webcams, Fitness-Tracker, Smat-TVs, SmartMeter, Navigationsgeräte, Autos, Facebook, Gmail, iCloud ...

Früher mussten aufwändig Wanzen und Kameras installiert und Leute zur Beobachtung abgestellt werden. Heute bezahlen, organisieren und installieren wir unsere eigene Überwachung selber. NSA und CIA lachen sich tot.

Uns kann das doch egal sein, wenn irgendein Geheimdienstmitarbeiter uns beim Frühstück beobachtet. Solange er auch diejenigen beobachtet, die anschließend einen Anschlag verüben wollen, soll mir das recht sein. Auf der einen Seite wünschen wir uns Sicherheit, auf der anderen Seite möchten wir nicht überwacht werden. Beides zusammen geht aber nicht. Ich bevorzuge es, nicht von radikalen Spinnern in die Luft gejagt, erschossen oder geköpft zu werden. Insofern sei es erlaubt, wenn dem CIA oder BND Mitarbeitern beim Anblick meines Frühstücksbrötchens das Wasser im Mund zusammen läuft.

Zu den Sicherheitslücken:

Zu meinen frühen Zeiten als programmierwütiger Teenager besaß ich das komplette Betriebssystem des C64 als Ausdruck (es gab ein Buch, da war das als Anhang drin) inkl. Hinweisen für Hacks oder besonders ausgetüftelte Algorithmen für Grafik.

Heute würde das Betriebssystem eines Mac oder PC mehr als nur ein Buch füllen, besteht aus vielen Komponenten, kann vom Anwender erweitert werden und Rechner besitzen alle einen Zugang zum Internet. Bei dieser hohen Komplexität ist es weder verwunderlich, dass es Schwachstellen gibt noch, dass es "lange" dauert bis Updates draußen sind. Auch Bugs kann man nie ausschließen und muss sie irgendwann aufgrund des Konkurrenzdrucks auch einfach wissentlich erst einmal ignorieren und das Produkt rausschießen. Jeder, der in der Software-Entwicklung (und damit meine ich jetzt nicht die private Entwicklung, bei der man Auftraggeber, Programmierer und womöglich noch Marketing-Mensch in einer Person ist) tätig ist, wird wissen, dass trotz offener Baustellen irgendwann der Schlussstrich gezogen werden muss. Ein Produkt wird sonst nämlich nie fertig. Das ist nicht nur bei Software so. Das ist bei Autos so, bei jeder Hardware (nicht nur Computer), bei Lebensmitteln - einfach überall. Man kann auch verbessern bis man schwarz wird. Das wirklich perfekte Produkt wird es niemals geben. Das ist auch einfache Psychologie. Während der Hersteller an Feature xyz bastelt, um es nachzureichen, hat sich beim Anwender (dem Markt) schon der Gedanke und Wunsch nach Feature xyz^2 entwickelt. Der Produzent hinkt also immer den Kundenwünschen hinterher. Das geht gar nicht anders. Firmen, die ausschließlich Kundenwünsche erfüllen, gehen früher oder später in die Insolvenz. Apple ist gerade deshalb so erfolgreich, weil sie die Kundenwünsche oft ignorieren, so paranoid das klingen mag. Apple hat schon immer den Kunden gesagt, was sie sich gerade zu wünschen haben. Das ist wie in der Modewelt: nicht der Kunde sagt, was gerade in ist, sondern die Designer. Wenn die Designer der Meinung sind, dass Blau die Farbe des Sommers ist, dann ist das so und der Kunde wird es kaufen, weil in allen Geschäften hauptsächlich blaue Kleidung hängt. Er wird es kaufen, weil das für ihn der Ausdruck eines Trends ist. Gemacht wurde dieser Trend allerdings von einem Designer und nicht vom Kunden.

Wer halbwegs intelligent ist und nicht unbesonnen im Internet unterwegs, wird vor den Schwachstellen nichts zu befürchten haben. Da ist es unerheblich, ob es nun 90 Tage oder 180 Tage dauert, bis Apple oder Microsoft oder sonst wer diese behoben haben. An dem Tag, an dem das Update kommt, sind ohnehin schon wieder drei neue Schwachstellen da. Die größte Schwachstelle, die fast jeder installiert hat, ist übrigens Adobes Flash - und doch läuft es auf jedem Rechner. Auch der Acrobat Reader gehört dazu. Microsoft Office gehört dazu. Und doch findet man sie auf fast allen Rechnern und man arbeitet täglich damit. Für Sicherheit ist jeder auch ein Stück selbst weit verantwortlich. So wie außerhalb der virtuellen Welt, auch dort können CIA und BND ohne Mithilfe der Bevölkerung keine Sicherheit garantieren. Jeder muss aufmerksam sein.

[quote=magal]Uns kann das doch egal sein, wenn irgendein Geheimdienstmitarbeiter uns beim Frühstück beobachtet. Solange er auch diejenigen beobachtet, die anschließend einen Anschlag verüben wollen, soll mir das recht sein. ... Insofern sei es erlaubt, wenn dem CIA oder BND Mitarbeitern beim Anblick meines Frühstücksbrötchens das Wasser im Mund zusammen läuft.[/quote]

Dieses "Argument" höre ich immer wieder. Und finde es ehrlich gesagt unerträglich. Mir macht Totalüberwachung viel mehr Angst als Terrorismus, weil sie absolut jeden Bürger trifft und den Überwachern totale Kontrolle gibt. Abgesehen davon: Wer vor Terrorismus Angst hat, dürfte weder Auto fahren noch Hausarbeit machen. Die Wahrscheinlichkeit dabei tödlich zu verunglücken ist mehr als 10.000mal höher.

Und wem es egal ist, ob er überwacht wird, der kann ja seine sexuellen Aktivitäten und morgendlichen Körperpflegeaktivitäten per Webcam ins Internet übertragen, seinen Vermögensstand, Gehaltszettel und sein Wahlverhalten bei Facbook posten, vertrauliche Gespräche und intime Briefe öffentlich protokollieren und seine Krankengeschichte inkl. aktueller Leiden wie psychische Störungen, Fußpilz, Neurodermitis, Allergien, Impotenz etc. allen zugänglich machen.

Die Datensammlung dient in erster Linie nicht der Verbrechensbekämpfung, dieses Argument wird nur vorgeschoben. Es ist weder in den USA noch in D auch nur ein einziger Fall bekannt, in dem zB die Vorratsdatenspeicherung nennenswert zur Aufklärung beigetragen hätte. Das ist gründlich überprüft worden.

In diesem Zusammenhang lohnt es sich, mal einen Vortag von Peter Schaar zu besuchen. Siehe http://www.spiegel.de/netzwelt/netzpolitik/ueberwachung-total-von-peter…

Es muss einen doch nachdenklich stimmen, wenn schon 2001 der technische Direktor der NSA aus Gewissensgründen seinen Job an den Nagel hängt und seitdem soziale Ächtung und staatliche Schikanen in Kauf nimmt oder ein junger Mann wie Edward Snowden sein Leben durch Veröffentlichung geheimer Akten riskiert und ruiniert.

[quote=Oliver]
Und wem es egal ist, ob er überwacht wird, der kann ja seine sexuellen Aktivitäten und morgendlichen Körperpflegeaktivitäten per Webcam ins Internet übertragen, seinen Vermögensstand, Gehaltszettel und sein Wahlverhalten bei Facbook posten, vertrauliche Gespräche und intime Briefe öffentlich protokollieren und seine Krankengeschichte inkl. aktueller Leiden wie psychische Störungen, Fußpilz, Neurodermitis, Allergien, Impotenz etc. allen zugänglich machen.

Die Datensammlung dient in erster Linie nicht der Verbrechensbekämpfung, dieses Argument wird nur vorgeschoben. Es ist weder in den USA noch in D auch nur ein einziger Fall bekannt, in dem zB die Vorratsdatenspeicherung nennenswert zur Aufklärung beigetragen hätte. Das ist gründlich überprüft worden.

In diesem Zusammenhang lohnt es sich, mal einen Vortag von Peter Schaar zu besuchen. Siehe http://www.spiegel.de/netzwelt/netzpolitik/ueberwachung-total-von-peter…

Es muss einen doch nachdenklich stimmen, wenn schon 2001 der technische Direktor der NSA aus Gewissensgründen seinen Job an den Nagel hängt und seitdem soziale Ächtung und staatliche Schikanen in Kauf nimmt oder ein junger Mann wie Edward Snowden sein Leben durch Veröffentlichung geheimer Akten riskiert und ruiniert.[/quote]

Das führt eigentlich alles vom Thema weg. Ich sage nur:
- PayPal
- Ebay
- elektronsiche Gesundheitskarte
- EC Karte
- Kreditkarte
- Payback Karten
- Google
- Amazon
- Online Banking
- Smart Phone
- GPS
- Fahrzeug Bord-Computer & Elektronik
- Seriennummern & Garantie
- Email
- SMS / Chat
- Steuererklärung
- Kredit
- Cloud
- iTunes
- Windows / OS X / Linux
uvm.

Über all diese Sachen kann man - ohne auch nur eine Telefonnummer zu kennen (die man auch heraus bekommt) oder Facebook zu bemühen - ein fast komplettes Profil eines Menschen erstellen. Seine Gewohnheiten kennen lernen, seinen regelmäßigen Aufenthaltsort bestimmen, seine Intentionen analysieren uvm. Und alle Daten werden gespeichert, teils zentral, teils dezentral. Das ist sowieso Vorratsdatenspeicherung. In Deutschland wurden bereits mehrere terroristische Keimzellen ausgehoben, weil Telefonate abgehört wurden. Weil Daten ZENTRAL gespeichert wurden, die ansonsten sowieso dezentral irgendwo liegen würden. Die Verkehrssünderdatei ist ebenfalls eine Vorratsdatenspeicherung. Die Schufa auch. Daran denkt nur niemand, das regt niemanden auf. Es würde auch weiterhin niemanden aufregen, wenn nicht die Presse und vereinzelte Verschwörungstheoretiker das so hochspielen würden. Schon aus der Sammlung der Foreneinträge hier könnte man ein fast komplettes Profil eines Menschen erstellen. Wird deshalb weniger gepostet? Wird deshalb weniger im Internet kommentiert, insbesondere bei Facebook? Nutzen weniger Menschen WhatApp seitdem die Schwachstellen bekannt wurden und die Tatsache, dass die Daten gesammelt werden und der Verantwortliche eine Briefkastenfirma führt und für die Behörden nicht greifbar ist? Nein. Stattdessen wird es still und heimlich von Facebook assimiliert und erscheint demnächst aufgrund des großen Erfolgs auch noch als Desktop-Variante. Und die Menschen werden es nutzen. Und jeder kennt garantiert mehr Leute, die es nutzen, als Leute, die es nicht nutzen. Und selbst dann, wenn man es nicht macht.....irgendwann beantwortet man eine SMS, surft im Internet, schreibt einen Forenbericht, liest bestimmte Seiten (während im Hintergrund der Server sämtliche Klicks und die Aufenthaltsdauer aufzeichnet und analysiert) usw.

Wenn jemand das nicht möchte, muss er es mit Peter Lustig halten: ABSCHALTEN!

Ich gebe dir da in fast allem Recht. Aber genau deshalb ist es ja so wichtig, sich dessen bewusst zu sein, nicht alles mitzumachen, sich zu informieren und unsere Regierenden mit den wenigen Mitteln, die uns zur Verfügung stehen (Wahl, Demos, Bürgerinitiativen) unter Druck zu setzen den Datensammelwahn einzudämmen bzw. strengere rechtliche Regeln dafür einzufordern.

ABSCHALTEN halte ich für keine Lösung. Das ist reine Polemik. Genausogut könnte man jemandem, der sich über Lebensmittelpanscherei aufregt, empfehlen mit dem Essen aufzuhören. Nein: Die Geheimdienste und die Datensammelwut brauchen eine starke Kontrolle und strikte internationale Regeln.

Glückwunsch: Ab heute steht es sogar offiziell in den Nutzungsbedingungen, dass Facebook sämtliche unserer Online-Aktivitäten "mitverfolgt". Damit werden zunehmend auch die letzten Lücken der vollständigen Überwachung geschlossen.