Google Project Zero veröffentlicht drei in Apple OS X vorhandene Lücken

Google Project Zero hat wieder zugeschlagen. Nachdem die Sicherheitsforscher von Google neulich wieder in die Schlagzeilen kamen, weil sie Lücken samt Exploit für Windows veröffentlichten, trifft es diesmal Apple. Um drei Lücken geht es, die dem Unternehmen bereits im Oktober 2014 mitgeteilt wurden. 90 Tage gibt Google den betroffenen Firmen Zeit für einen Patch, danach werden die Lücken veröffentlicht, ob gepatcht oder nicht.

Google Office

Unklar ist noch, welche Versionen von OS X genau betroffen sind. Apple selbst äußert sich weder zu den Lücken selbst, noch zur Veröffentlichung durch Google. Google möchte mit Project Zero die Hersteller unter Druck setzen und gleichzeitig wichtige Produkte sicherer machen. Dass es Unternehmen wie Microsoft oder Apple nicht schaffen, innerhalb von 90 Tagen einen Patch zur Verfügung zu stellen, spricht nicht unbedingt für die Unternehmen. Vor allem, wenn man sich einmal vor Augen hält, dass die gleichen Hersteller nahezu jährlich ein stark verändertes Betriebssystem anbieten.

Die drei Lücken findet Ihr bei Interesse hier, hier und hier. Die Lücken ermöglichen es etwaigen Angreifern, die Kontrolle über das Gerät zu erhalten. Ob nun nach Bekanntwerden der Lücken die potentiellen Angreifer oder Apple schneller sein werden? Spannendes Rennen, das leider auf dem Rücken der Nutzer ausgefahren wird.

(Quelle: CNet)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

*Mitglied der Redaktion 2013 bis 2019* Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

27 Kommentare

  1. Danke. Im Endeffekt nutzen Leute auf dem Schwarzmarkt die Lücken, oder finden sie eh zuerst…..

  2. Reiner Reibach says:

    Danke. Über den Flashplayer Exploit habe ich hier noch nichts gelesen. Und vor allem über den Umgang damit unter OSX.

  3. Auf dem Rücken der Nutzer?? Weil ja nur Google die Lücken finden kann und nicht $BöserBube. x) Wird Zeit, die Applebrille abzunehmen.

  4. Es ist mir ehrlich gesagt immer wieder ein Rätsel, warum Apple und M$ so ewig lange brauchen, um Sicherheitslücken in ihren Produkten zu fixen. Das Schreiben eines Patches dauert maximal einen Tag und zu testen braucht man eigentlich auch keine 80 Tage.

  5. Nah, vorsichtig mit solchen Aussagen. Betriebssysteme zu programmieren, die Architektur zu entwerfen etc. ist die höchste Kunst.

  6. Ich bin der Meinung, dass Google durchaus veröffentlichen sollte, dass ein oder auch mehrere Fehler gefunden wurden und Apple, Microsoft oder wer auch immer die Fehler nicht binnen 90 Tagen behoben hat / haben. Das Offenlegen des Exploits halte ich dagegen für völlig verantwortungslos den Nutzern der jeweiligen Betriebssysteme gegenüber. Das Offenlegen erhöht das Risiko eines Angriffs in extremer Weise und macht Google zum Teil des Problems und nur noch zum kleinen Anteil zum Teil der Lösung. Sehr schade. Von Google hatte ich mehr Verantwortlichkeit erwartet.

  7. Niranda: Nur nicht überbewerten. Betriebssysteme sind weit weg von Magie. Und ne Kunst ist es auch nicht wenn die gute Leute hätten. Die Tests werden automatisiert sein….

    Es ist ganz einfach: Es ist unterste Priorität. MS hat nur noch Vertriebler und Dummlaberer, die brauchen 1000 Jahre um überhaupt zu verstehen was vor sich geht.

  8. @Famulus: Das Veröffentlichen von Exploits zu Sicherheitslücken ist als Proof-of-concept gängig. So kann auch schon mal ein Admin, der weiß was er tut, das Ganze besser nachvollziehen und evtl. einen Workaround einrichten, um die Ausnutzung der Lücke vorübergehend zu verhindern.

  9. Ein Schelm wer denkt, dass Google ein Konkurrent von Apple und M$ wäre….. 😉

  10. @opcode: also wäre es deiner Meinung nach möglich, mit einem Team beliebiger Größe ein OS zu entwickeln, welches auf dem aktuellen Stand von heutigen Betriebssystemen ist und dies in 2 Jahren?
    Und ohne auf bestehende Projekte wie LinuxFromScratch zurück zu greifen?
    Schon allein die Absprache mit sämtlichen Hardwareherstellern, Hardware in unendlich scheinenden Kombinationen etc. Pp. machen da schon einen Strich durch die Rechnung.
    Anwendungen zu entwickeln, die komplexe AIs haben ist im Vergleich einfach, da diese im Grunde simple regeln befolgen.

    Aber BTT:
    Viele hier mögen zwar technisch versiert sein, aber wer von denen hat sich die Lücken mal angeschaut, bzw überflogen? Ich denke die wenigsten und noch viel weniger haben die Komplexität diverser Lücken (erst recht) nicht vor Augen.
    Automatisierte Tests sind schön und gut, decken aber nur einen begrenzten Bereich ab. Diese als Argument zu nehmen, das genannte Firmen zu lange brauchen, ist unlogisch.
    Wie oft gab es Patches, die beim Kunden ein Desaster auslösten? Wurden diese Patches etwa nicht automatisiert getestet?

  11. Richtig so. Die Vergangenheit hat immer wieder gezeigt, dass Apple nur auf öffentlichen Druck reagiert und Lücken ansonsten gerne unter den Tisch kehrt, statt sie zu beheben. Apple war immer schon das eigene Image wichtiger als die Sicherheit seiner User.

    Und hier im Blog sollte man nicht immer mit der rosaroten Apple-Brille formulieren. Nicht der Überbringer der Nachricht ist schuld an diesen Lücken.

  12. finde die aktion von google auch absolut sauber und richtig. egal wie komplex ein system ist, eine firma muss so aufgestellt sein, um sicherheitslücken innerhalb von einem viertel jahr fixen zu können. keiner der beteiligten MÖCHTE, dass die bugs öffentlich gemacht werden. aber nur wenn google es durchzieht, werden sie mit der aussage wahrgenommen.

    zeit dass sicherheitslücken bei großen firmen eine wichtigere bedeutung finden.

  13. @Andi

    im OS-Markt für PCs sind sie tatsächlich kein Konkurrent, ChromeOS nimmt man da nicht wirklich ernst und ist Lichtjahre von OSX, Windows oder Linux entfernt…

  14. „Lichtjahre entfernt“ kommt doch eher auf die Sicht der Betrachtung an. ChromeOS ist ein völlig anderes Konzept, quasi ein Cloud-OS.

    Im übrigens ist es völlig egal ob das Konkurrenten sind oder nicht: endlich holt mal jemand die Leute mit Ahnung an Board und hilft Lücken zu schließen bevor sie schädlich werden. Apple sollte einen Dicken Scheck an Google überweisen – das ist die Wahrheit.

    Offener Umgang mit dem Tabu-Thema Sicherheitslücke ist die einzige Methode um das Ganze irgendwann in den Griff zu bekommen.

  15. Ich frage mich ob Google den gleichen Maßstab bei sich selbst auch ansetzt oder vorhande Sicherheitslücken die Google selbst betreffen dann nicht veröffentlicht werden….. gibt es hier schon Fälle?

  16. Und wer zwingt die ganzen Hardwarehersteller die ihre Android Geräte nicht Patchen?
    Also sollten Microsoft und Apple alle ungepatchten Lücken von Android Geräten von z. B. Samsung Veröffentlichen.

  17. Lichtjahre entfernt ist falsch. Chrome OS wächst stark, Windows schrumpft. Wieso ? Weil sich die Anforderungen geändert haben. Sieht man daran das Microsoft ALLES nachmacht was Google macht. Windows möchte auch Cloud OS sein, ist aber wieder nur ein Kompromiss. One Drive Skype Cortana, alles hat Chrome OS seit Jahren. Im Endeffekt ist Cros belächelt von Ignoranten, aber funktioniert Hammergut.

  18. @peepee

    Chrome OS gibt es seit Jahren und bis heute taucht es immer noch in keiner Statistik auf.
    Wie hoch ist den der Marktanteil ? 0,1 % ?

  19. @Alex: das meinte ich mit Ignorant. Eine simple Suche mit Google und du hast ein positives Bild : https://www.google.de/search?q=chrome+os+marktanteil

  20. PerfectBlue says:

    @Dirk K.

    Die Hardwarehersteller werden gezwungen von den Käufern die sehen welche Hersteller Updates bringen und welche nicht. Wenn das natürlich keine Auswirkungen auf die Verkaufszahlen hat ist es den Käufern wohl egal.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.