Google Project Zero veröffentlicht drei in Apple OS X vorhandene Lücken

Google Project Zero hat wieder zugeschlagen. Nachdem die Sicherheitsforscher von Google neulich wieder in die Schlagzeilen kamen, weil sie Lücken samt Exploit für Windows veröffentlichten, trifft es diesmal Apple. Um drei Lücken geht es, die dem Unternehmen bereits im Oktober 2014 mitgeteilt wurden. 90 Tage gibt Google den betroffenen Firmen Zeit für einen Patch, danach werden die Lücken veröffentlicht, ob gepatcht oder nicht.

Google Office

Unklar ist noch, welche Versionen von OS X genau betroffen sind. Apple selbst äußert sich weder zu den Lücken selbst, noch zur Veröffentlichung durch Google. Google möchte mit Project Zero die Hersteller unter Druck setzen und gleichzeitig wichtige Produkte sicherer machen. Dass es Unternehmen wie Microsoft oder Apple nicht schaffen, innerhalb von 90 Tagen einen Patch zur Verfügung zu stellen, spricht nicht unbedingt für die Unternehmen. Vor allem, wenn man sich einmal vor Augen hält, dass die gleichen Hersteller nahezu jährlich ein stark verändertes Betriebssystem anbieten.

Die drei Lücken findet Ihr bei Interesse hier, hier und hier. Die Lücken ermöglichen es etwaigen Angreifern, die Kontrolle über das Gerät zu erhalten. Ob nun nach Bekanntwerden der Lücken die potentiellen Angreifer oder Apple schneller sein werden? Spannendes Rennen, das leider auf dem Rücken der Nutzer ausgefahren wird.

(Quelle: CNet)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

27 Kommentare

  1. Danke. Im Endeffekt nutzen Leute auf dem Schwarzmarkt die Lücken, oder finden sie eh zuerst…..

  2. Reiner Reibach says:

    Danke. Über den Flashplayer Exploit habe ich hier noch nichts gelesen. Und vor allem über den Umgang damit unter OSX.

  3. Auf dem Rücken der Nutzer?? Weil ja nur Google die Lücken finden kann und nicht $BöserBube. x) Wird Zeit, die Applebrille abzunehmen.

  4. Es ist mir ehrlich gesagt immer wieder ein Rätsel, warum Apple und M$ so ewig lange brauchen, um Sicherheitslücken in ihren Produkten zu fixen. Das Schreiben eines Patches dauert maximal einen Tag und zu testen braucht man eigentlich auch keine 80 Tage.

  5. Nah, vorsichtig mit solchen Aussagen. Betriebssysteme zu programmieren, die Architektur zu entwerfen etc. ist die höchste Kunst.

  6. Ich bin der Meinung, dass Google durchaus veröffentlichen sollte, dass ein oder auch mehrere Fehler gefunden wurden und Apple, Microsoft oder wer auch immer die Fehler nicht binnen 90 Tagen behoben hat / haben. Das Offenlegen des Exploits halte ich dagegen für völlig verantwortungslos den Nutzern der jeweiligen Betriebssysteme gegenüber. Das Offenlegen erhöht das Risiko eines Angriffs in extremer Weise und macht Google zum Teil des Problems und nur noch zum kleinen Anteil zum Teil der Lösung. Sehr schade. Von Google hatte ich mehr Verantwortlichkeit erwartet.

  7. Niranda: Nur nicht überbewerten. Betriebssysteme sind weit weg von Magie. Und ne Kunst ist es auch nicht wenn die gute Leute hätten. Die Tests werden automatisiert sein….

    Es ist ganz einfach: Es ist unterste Priorität. MS hat nur noch Vertriebler und Dummlaberer, die brauchen 1000 Jahre um überhaupt zu verstehen was vor sich geht.

  8. @Famulus: Das Veröffentlichen von Exploits zu Sicherheitslücken ist als Proof-of-concept gängig. So kann auch schon mal ein Admin, der weiß was er tut, das Ganze besser nachvollziehen und evtl. einen Workaround einrichten, um die Ausnutzung der Lücke vorübergehend zu verhindern.

  9. Ein Schelm wer denkt, dass Google ein Konkurrent von Apple und M$ wäre….. 😉

  10. @opcode: also wäre es deiner Meinung nach möglich, mit einem Team beliebiger Größe ein OS zu entwickeln, welches auf dem aktuellen Stand von heutigen Betriebssystemen ist und dies in 2 Jahren?
    Und ohne auf bestehende Projekte wie LinuxFromScratch zurück zu greifen?
    Schon allein die Absprache mit sämtlichen Hardwareherstellern, Hardware in unendlich scheinenden Kombinationen etc. Pp. machen da schon einen Strich durch die Rechnung.
    Anwendungen zu entwickeln, die komplexe AIs haben ist im Vergleich einfach, da diese im Grunde simple regeln befolgen.

    Aber BTT:
    Viele hier mögen zwar technisch versiert sein, aber wer von denen hat sich die Lücken mal angeschaut, bzw überflogen? Ich denke die wenigsten und noch viel weniger haben die Komplexität diverser Lücken (erst recht) nicht vor Augen.
    Automatisierte Tests sind schön und gut, decken aber nur einen begrenzten Bereich ab. Diese als Argument zu nehmen, das genannte Firmen zu lange brauchen, ist unlogisch.
    Wie oft gab es Patches, die beim Kunden ein Desaster auslösten? Wurden diese Patches etwa nicht automatisiert getestet?

  11. Richtig so. Die Vergangenheit hat immer wieder gezeigt, dass Apple nur auf öffentlichen Druck reagiert und Lücken ansonsten gerne unter den Tisch kehrt, statt sie zu beheben. Apple war immer schon das eigene Image wichtiger als die Sicherheit seiner User.

    Und hier im Blog sollte man nicht immer mit der rosaroten Apple-Brille formulieren. Nicht der Überbringer der Nachricht ist schuld an diesen Lücken.

  12. finde die aktion von google auch absolut sauber und richtig. egal wie komplex ein system ist, eine firma muss so aufgestellt sein, um sicherheitslücken innerhalb von einem viertel jahr fixen zu können. keiner der beteiligten MÖCHTE, dass die bugs öffentlich gemacht werden. aber nur wenn google es durchzieht, werden sie mit der aussage wahrgenommen.

    zeit dass sicherheitslücken bei großen firmen eine wichtigere bedeutung finden.

  13. @Andi

    im OS-Markt für PCs sind sie tatsächlich kein Konkurrent, ChromeOS nimmt man da nicht wirklich ernst und ist Lichtjahre von OSX, Windows oder Linux entfernt…

  14. „Lichtjahre entfernt“ kommt doch eher auf die Sicht der Betrachtung an. ChromeOS ist ein völlig anderes Konzept, quasi ein Cloud-OS.

    Im übrigens ist es völlig egal ob das Konkurrenten sind oder nicht: endlich holt mal jemand die Leute mit Ahnung an Board und hilft Lücken zu schließen bevor sie schädlich werden. Apple sollte einen Dicken Scheck an Google überweisen – das ist die Wahrheit.

    Offener Umgang mit dem Tabu-Thema Sicherheitslücke ist die einzige Methode um das Ganze irgendwann in den Griff zu bekommen.

  15. Ich frage mich ob Google den gleichen Maßstab bei sich selbst auch ansetzt oder vorhande Sicherheitslücken die Google selbst betreffen dann nicht veröffentlicht werden….. gibt es hier schon Fälle?

  16. Und wer zwingt die ganzen Hardwarehersteller die ihre Android Geräte nicht Patchen?
    Also sollten Microsoft und Apple alle ungepatchten Lücken von Android Geräten von z. B. Samsung Veröffentlichen.

  17. Lichtjahre entfernt ist falsch. Chrome OS wächst stark, Windows schrumpft. Wieso ? Weil sich die Anforderungen geändert haben. Sieht man daran das Microsoft ALLES nachmacht was Google macht. Windows möchte auch Cloud OS sein, ist aber wieder nur ein Kompromiss. One Drive Skype Cortana, alles hat Chrome OS seit Jahren. Im Endeffekt ist Cros belächelt von Ignoranten, aber funktioniert Hammergut.

  18. @peepee

    Chrome OS gibt es seit Jahren und bis heute taucht es immer noch in keiner Statistik auf.
    Wie hoch ist den der Marktanteil ? 0,1 % ?

  19. @Alex: das meinte ich mit Ignorant. Eine simple Suche mit Google und du hast ein positives Bild : https://www.google.de/search?q=chrome+os+marktanteil

  20. PerfectBlue says:

    @Dirk K.

    Die Hardwarehersteller werden gezwungen von den Käufern die sehen welche Hersteller Updates bringen und welche nicht. Wenn das natürlich keine Auswirkungen auf die Verkaufszahlen hat ist es den Käufern wohl egal.

  21. Ja, diese rosarote Apple-Brille fällt hier immer wieder auf. Das merkt man auch daran, das bestimmte Dinge hier einfach anders formuliert werden. Je nachem ob es um Apple geht oder um andere Firmen. Das merkt man oft schon an der Formulierung der Überschriften im Vergleich zu anderen Techblogs und News-Seiten.

  22. Wenn es so einfach ist, Betriebssysteme zu entwickeln, wie hier z.T. behauptet wurde – dann frage ich mich ja fast, warum es so wenig (verbreitete) OS gibt.
    Wie viele von denen, die behaupten, 90 Tage (oder gar nur 1 Tag) sind genug um ein Patch zu schreibe, haben das selbst schon mal getan?
    Woher stammt bei anderen die (Insider?) -Info, dass Patches unterste Priorität bei MS haben?
    Haben sich all die Fachleute schon mal bei MS/Apple beworben, um ihre Hilfe anzubieten? Das Internet wäre aber so was von sicher….

    Und wie groß ist das Gemecker der gleichen Leute, wenn bei irgendeinem Patch oder einem Update irgendwas schief geht?
    Dann heißt es wohl wieder, dass nicht ordentlich getestet wurde. Ein Argument, wie dass es nur 0,1 % der Nutzer mit einer seltenen Hard- oder Softwarekombination trifft, zählt natürlich nicht, wenn man selbst betroffen ist…

  23. @RasPI-Nutzer

    Leider hast du meinen Kommentar nicht verstanden (Stichwort Implementierung und Umsetzung). Das waren von mir alles Beispiele von Dingen, die Apple eben NICHT erfunden hat! Trotzdem wurden sie erst durch die Umsetzung von Apple zur Innovation. Das bedeutet, sie haben dann den Markt durchdrungen und wurden erfolgreich angewendet, und genau das bedeutet Innovation. (Nicht zu verwechseln mit Invention)
    – vorm iPad, kaum bis keine Tablets und schon totgesagt.
    – vorm iPhone, kaum bis keine Smartphones und schon gar nicht ohne Tastatur.
    – vor TouchID, kaum bis keine nennenswerten Scanner in Smartphones und schon garnicht so bequem anzuwenden.
    usw…
    Dasselbe wäre bei Google das „Project Glass“. Brillen mit kleinen Bildschirmen gab es auch schon vorher aber die Google Variante geht da deutlich weiter. Trotzdem hat es sich bis heute nicht durchgesetzt und ist damit eher ein Flop als eine Innovation. Kaum einer erfindet heute noch das Rad neu sondern es sind meist Weiterentwicklungen von bereits vorhandenem.

    Hast du dir mal angeguckt was z.B. Motorola und Nokia alles für wichtige Patente haben? Aber das führt zu weit und ich denke auch du wirst es nicht verstehen.

    Und wie der Gründer einer Firma aus eben dieser die „Menschlichkeit“ herausnehmen will, ist mir auch schleierhaft.
    Ich glaube aber du möchtest hier nur trollen und deshalb belasse ich es dabei. Fundierte Kritik ist ja ne tolle Sache aber das, was du da von dir gibst ist leider das Gegenteil davon.

  24. @Dischue: Ich und sicher auch andere können das bewerten. Ich kann aber nur für mich sprechen. Und nein, ich werd dir jetzt nicht meine Qualifikation ausbreiten, aber z.b.: Ms’ler haben nicht die erforderlichen Skills bei uns zu arbeiten.

  25. @Hans: Wer hat nach deiner Meinung nach dann das Auto erfunden? Daimler kann die Innovation ja dann wohl nicht geschafft haben. Das erste Auto nach modernen Layout wie heute, war der Austin 7. Komisch, dass jeder sagt das Daimler der Innovator ist und kaum jemanden Austin würdigt.

  26. Somit ist Daimler sicher ein wichtiger, wenn nicht DER, Innovator für Autos.
    RasPI-Nutzer sagte doch weiter oben, dass Apple noch nie innovativ bei irgendetwas war.

    Zitat: „Denn Apple hat bislang keine einzige Innovation geschaffen, sondern immer nur abgeguckt oder einfach aufgekauft. “Genial”, was?“

    Das habe ich dann mit meinen Beispielen versucht zu widerlegen. Ich glaube es bestreitet auch kaum einer, dass Apple mit dem ersten iPhone DER Innovator für heutige Samrrphones war und dasselbe gilt für Tablets mit dem iPad, außer eben RasPI.
    Aber sicher hat Apple das Smartphone an sich nicht erfunden. Das ist aber auch nicht das, was Innoavtion ausmacht. Steht auch alles da aber vielleicht hab ich mich aus missverständlich ausgedrückt.
    PEACE!

  27. @Totorito
    Du setzt leider auch Innovation und Invention gleich. Apple hat glaube ich bis heute kaum etwas erfunden (Invention). Genau wie Google oder Microsoft auch, aber deshalb sind sie ja trotzdem innovativ. Der eine mehr und der andere weniger.
    Ein Fahrrad konnte auch nur einmal erfunden werden und heutige E-Bikes sind dann eine Innoavtion im Bereich von Fahrrädern.
    Das iPhone ist eine Innovation im Bereich von Handys/Smartphones.
    Hybridautos sind eine Innovation im Bereich von Autos. Usw.