Security-Schwachstellen 2015: OS X und iOS führen Top-50 an
Apples Betriebssysteme, die Desktop-Variante OS X und das auf iPhone und iPad eingesetzte Mobil-Betriebssystem iOS, führen die von CVE Details gepflegte Top-50-Liste der Anwendungen und OS-Ausgaben mit den meisten Sicherheitslücken 2015 an und platzieren sich damit noch vor dem Flash Player von Adobe und Microsofts Internet Explorer.
Die Statistik, die OS X ganze 384 Schwachstellen ankreidet und iOS fast eben so viele (375) Vulnerabilities zur Last legt, sollte jedoch mit Vorsicht genossen gelesen werden. So unterscheidet die Rangliste, die auf den Datenbestand der National Vulnerability Database setzt, zwar verschiedene Windows-Versionen voneinander und führt Sicherheitslücken im Linux-Kernel getrennt von den Schwachstellen zahlreicher Linux-Distributionen auf, ignoriert die unterschiedlichen Versionsnummern von OS X und iOS aber komplett.
Dennoch: Auch im Herstellervergleich hat Apple im vergangenen Jahr nicht die beste Figur gemacht. So kommt Cupertino auf 1147 (bekannt gewordene) Sicherheitslücken in der gesamten Produkt-Palette, Google muss sich hingegen lediglich 317 mögliche Einfallstore ankreiden lassen, die in Chrome und Android ausgemacht werden konnten.
2015: Die Hersteller im Überblick
Ignorieren wir das Feld der Marktkonkurrenten und konzentrieren uns ausschließlich auf Apples Performance, lässt sich ein leichter Anstieg in den gefundenen Sicherheitslücken ausmachen. 2014 kam OS X noch auf überschaubare 135 Vulnerabilities, 2015 bereits auf 384. Ähnliches gilt für iOS. Die Anzahl der ausgemachten Schwachstellen hat sich im Jahresvergleich von 120 (2014) auf 375 (2015) mehr als verdoppelt. Am häufigsten tauchen hier „Memory Corruptions“, „Buffer Overflows“, „Code Execution“ und „DoS“-Verwundbarkeiten auf.
Die absoluten Zahlen lassen allerdings keine qualifizierten Vergleiche der Systemsicherheit zwischen den Herstellern zu. Nicht nur die Zusammenfassung unterschiedlicher Versionsnummer macht die Aufrechnung der Schwachstellen fast unmöglich, auch die Unterschiede der Firmen-Transparenz mit der Google, Apple und Co. die bekanntgewordenen Schwachstellen kommunizieren und die Einstufung leichter Code-Variationen, die zu ähnlich problematischen Angriffen führen können, ist leider nicht standardisiert.
Unterm Strich lässt sich festhalten: Apples Produkte hatte 2015 mehr Security-Schwachstellen als noch 2014.
Lesenswert.
Vielleicht sinds ja auch kumulierte Werte und die Schwachstellen in iOS5.1.4, die nicht mehr behoben werden sind in der Zahl auch noch enthalten. Die Schlagzeile macht sich halt besser mit größeren Zahlen und Apple an der Spitze.
Ich öffne sowohl unter iOS als auch unter OSX jede Datei, Webseite, Anhang usw. ohne Probleme oder mir irgendetwas einzufangen und das ganze ohne irgendeinen Cleaner, Adware-, Spyware- oder Virenschutz. Unter Windows sieht das ganz anders aus…
In real world werden Windows- und Android-User angegriffen und das erfolgreich.
Apple-Kunden sind (noch) viel sicherer. Also was soll der ganze Zahlenmüll aussagen? Wer bezahlt so was?
Imho alles Mumpitz!
Ja, aber nur so lange die Nutzer von Apple-Betriebssystemen noch uninteressant sind. Ich möchte keine Virenscanner usw. nutzen müssen, und hoffe, dass das so bleibt..
Ich verstehe gar nicht warum Apple Benutzer nicht interessant sind. Sie geben das meiste Geld aus und da ist noch mehr zu holen. Dann benutzen sie keine Schutzsoftware und vertrauen voll auf den magischen Schutz des Apfels.
Ja, ich rede auch von mir. Wobei ich von Anti-Viren-Software nichts halte.
Diese Hersteller haben immer zwei Abteilungen. Eine die an der Schutzsoftware bastelt und eine die an der anderen arbeitet.
Ob ein „reicher“ Apple-Besitzer eine Viagra-Mail verschickt oder ein Windowsrechner ist doch egal.
Bei Windows bringt ein Exploit mehr Spamschleudern.
@ Deformator 03.01.2016, 12:24 Uhr
„Ja, aber nur so lange die Nutzer von Apple-Betriebssystemen noch uninteressant sind. Ich möchte keine Virenscanner usw. nutzen müssen, und hoffe, dass das so bleibt..“
Was heißt „uninteressant“? iOS ist sehr verbreitet auf der Welt. Attacken gegen dieses system, Viren, Malware und der ganze Rest = unbekannt. WARUM interessiert sich niemand für Hunderte Millionen Nutzer, die im Regelfall gerne Geld ausgeben? Vielleicht, weil sie es nicht können? Weil es einfach sicherer ist – dieses OS.
Und die auf der anderen Seite gehören zu den Geheimdiensten.
So isses und wenn die einzelnen Versionen nicht einmal einzeln aufgeführt werden ist das Ganze eh nur nichtssagender Zahlenmüll. Totaler Schwachsinn, der nichts mit der Realität zu tun hat.
Mal abgesehen davon wie schwer diese „Fehler“ wirklich wiegen.
Viele „Fehler“ beinhalten z.B. das der Angreifer mein Gerät besitzt oder zuvor manipulierte.
Ist leider so dass sich Apple seit dem Tod von Steve Jobs immer mehr dem Niveau des billigen Massenmarktes annähert. Wirkliche Innovationen fehlen seit mehreren Jahren, es wird halbgares Zeug produziert. Im Fotobereich liegt Apple mehrere Jahre der aktuellen Entwicklung zurück (s. 10 Bit Farbdarstellung auf Monitoren). Sehr schade das Ganze, da ist leider nicht mehr einzusehen, warum man diese überteuerten Preise bezahlen soll. Glaube nicht, dass mein nächstes Notebook ein Apple wird…
Das sind ja gute Nachrichten für den nächsten Jailbreak. Jetzt verstehe ich auch, warum die chinesischen Hacker es immer wieder schaffen und die Exploits nie zur Neige gehen…
Du glaubst nicht was heuer für ein Aufwand betrieben wird, um einen Exploit für iOS zu programmieren. Da kommen nicht nur Softwaretools zum Einsatz, sondern auch Hardware die eigens dafür entwickelt wird, um z. B. den Lightning E/A zur Laufzeit abzufragen. In dieser Hinsicht macht Apple es der JB Szene nicht gerade einfach.
Wenn Apple soweit zurück ist wie du sagst dann Kauf doch was anderes.
Wer lesen kann… Genau das schreibt er doch.
Werden es die Leute eigentlich nie leid? Immer Steve Jobs hier, er dreht sich in Grab rum da.. Sicherlich war er ein guter Leiter, aber er ist mittlerweile schon einige Jahre tot. Akzeptiert das endlich und lässt ihn seine Ruhe.
Jesus ist auch tot und???? Wann wurde er nochmal ungefähr geboren???? Im Jahre 0????
Religion und Firma ist was anderes, aber man kann gut eingrenzen.
Zu Zeiten Jobs und nach Zeiten Jobs.
Warum feiern wir nochmal Weihnachten, Ostern und die anderen Tage????
@Blackbird716: Der Vergleich hinkt aber gewaltig. Ostern wird gefeiert, weil Jesus von den Toten auferstanden ist.
Die ewigen seit Jobs Tod Trolle… Professionelle Anwender und die vielen Dollars aus dem Massenmarkt zeigen deutlich das die Trolle nur Trollen wollen. Oder anders gesagt soviele idioten die Apple Produkte kommerziellen Gründen vorziehen kann es gar nicht geben. Ich zB bekomme von meinem Arbeitgeber einen ziemlich nette Windows Ausstattung gestellt arbeite aber lieber mit privat gekauften Apple Produkten, weil mir die Arbeit dadurch leichter von der Hand geht – ziemlich blôd etwas teureres privat für den Beruf anzulegen, obwohl Arbeitsgerät vorhanden :D
Das Gesamtprodukt stimmt – nur die skalerieung auf Millionen Kunden, da kommt Apple nicht hinterher – da helfen auch Zug Milliarden Dollar nicht die sie auf Server Farmen schmeißen – gebaut werden müssen diese einfach – kostet Zeit und Software die den schnell wachsenden iOS und OS X Markt hinterher skaliert braucht einfach auch Zeit und Personal – und sie bauen ja … Und bauen … Aber zaubern kann selbst Apple nicht.
Nicht alles ist Gold, was Apple macht – aber es ist besser als alles andere auf dem Markt. Daher wird es gekauft. Und bei der Geschwindigkeit die Apple an den Tag legt, wundern mich Fehler nicht – menschlich – manches ärgerlich aber bei anderen ist es einfach schlimmer. Dann haut mal auf mich ein, liebe Trolle.
Das eine oder andere Komma wäre schon nett gewesen.
Leider nur Geschwätz – wenn es um Sicherheit geht.
Fakt ist immer noch das einige Produkte in der Form wie sie heute das Haus Apple verlassen unter Jobs das Haus eben nicht verlassen hätten. Dieser hätte den Verantwortlichen für manche Dinge in den Hintern getreten das sein Schuh stecken geblieben wäre.
Punkt
Schade das der „Markt“ nur noch aus Traubentreten besteht die alle schlucken was geboten wird. Hauptsache es ist neu und es steht Apple drauf.
ja, unter Steve Jobs hat Apple nie Fehler gemacht. Was für’n Realitätsverlust.
Gott oh Gott ist das ein Deutsch.
Und dann auch noch ohne Inhalt
Dito Michael, ich werde das Apple-Premium auch nicht nochmal bezahlen. Die 3000€ für das MacBook Pro taten dank Yosemite und ios9 sowie zig Bugs und Problemen wirklich weh.
Ihr hättet euch für den Artikel ruhig die Mühe machen können und OS X auf die Versionen aufzuschlüsseln, so wie es auch für Windows getan wird. Dann hätte man schnell gesehen dass die aktuelle(n) OS X Versionen ungefähr die selbe Anzahl an Lücken aufweist wie zB Windows 10. http://www.cvedetails.com/vers.....-Os-X.html
Es macht die Sache nicht besser, jede Lücke ist zu viel, aber zeichnet ein sehr viel deutlicheres Bild als euer Artikel bzw. Überschrift. Ein Ergänzung wäre sicher nicht verkehrt.
Wenn ich das richtig sehe zeigt deine Liste alle angegebenen Schwachstellen an, egal aus welchem Jahr. Die Liste oben beinhaltet allerdings nur das Jahr 2015. Der Schreiberling hier kann also nichts aufschlüsseln, wenn die Quelle nichts her gibt. Man hätte lediglich, wie du es erwähnst, die aktuellen Versionen anmerken können.
Unsinnige Zahlenspielereien !
Wenn Apple bei iOS oder OSX Updates freigibt, und das kommt wie man weiß recht häufig vor, werden von Apple alle geschlossenen Security-Schwachstellen beschrieben. Jede Schwachstelle wird mit einer CVE nummeriert und vom US-CERT veröffentlicht.
Bedeutet nun aber gerade nicht, dass diese beiden Systeme besonders unsicher sind, sondern dass Schwachstellen geschlossen wurden und nun nicht mehr ausgenutzt werden können.
Soll nun die Schlussfolgerung dieser Statistik sein: „Je mehr Sicherheitslücken, desto unsichereres System ?“. Man kann auch daraus schlußfolgern: „Apple tut im Vergleich zu anderen Herstellern viel für die Sicherheit“.
Viel problematischer sind bekannte und ungepatchte Sicherheitslücken.
Korrekt. Wenn Mobilfunkprovider in die Bresche springen müssen, mms deaktivieren/anpassen, um aus dem support gelaufene Android-Geräte zu retten, dann ist das doch ein Bild das Bände spricht.
Um iOS mit dem Rest vergleichen zu können, müsste man alle Smartphone Hersteller und die Schwachstellen die in den eigenen Geräten durch eigene Software aufgerissen werden in einen Top legen. Erst dann kommt man auf vergleichbare Zahlen.
Wer mal kurz nach „Samsung“ oder „HTC“ sucht, findet viele weitere Schwachstellen die auf Geräten dieser Hersteller gefunden wurden. Bei Apple ist es halt immer iOS, weil nunmal niemand an dem System herumpfuscht..
Was ist mit „Iphone Os“ überhaupt gemeint? – Haben die auch ein etwaiges „Ipad os“ unter die Lupe genommen? (Ein Betriebssystem(?) namens „Apple Tv“ findet man zumindest in der Liste)
Was soll man denn mit solchen Daten anfangen?
ääähm… Du weißt aber schon: iPhone OS = iOS… ?
https://de.wikipedia.org/wiki/Apple_iOS
„iPhone OS“ ist eben nicht „iOS“!
Hättest Du Deinen verlinkten Wikipedia-Artikel mal selbst gelesen wüsstest Du dass es seit 2010 kein „iPhone OS“ mehr gibt. (iOS 4.2.1 war die erste gemeinsame iOS-Version)
Daher die Frage: Warum taucht in der vermeintlich aktuellen Liste „Iphone OS“ auf?
Wurden in Betriebssystemen VOR iOS 4.2.1 (iPhone OS) so viele Schwachstellen gefunden oder erst in der aktuellen „iOS“ Version? Ist in der Liste mit „Iphone OS“ auch das OS für iPad-Devices gemeint (damals iPad OS, seit 2010 ebenfalls iOS)? Oder gilt die Liste nur für Geräte vor 2010?!?
Die Tatsache das ein „Betriebssystem“ (?) mit dem Namen „Apple Tv“ in der Liste auftaucht macht es auch nicht verständlicher.
Ferner schmerzt die falsche Schreibweise der Geräte-Namen und OS-Bezeichnungen in der Liste schon beim lesen.
iOS
BÄÄÄM, da sollten doch einigen mitschwimmenden Fischen es wie Schuppen von den Augen fallen, aber nein, „mein OS ist sicher!“
Und noch schnell ein Seitenhieb auf die Jailbreaker :-(.
Entweder hast du den Artikel nicht richtig gelesen oder du hast massive Schwierigkeiten beim Leseverständnis. Für Beides musst du dich besonders schämen. Falls du es doch nicht tust, kann ich dir nur eine miserable Zukunft voraussagen.
Wow! Die einzelne Windows-Version schafft es in die Top 10 der unsicheren Betriebssysteme!
Bei Mac OS X werden absolut alle Systeme zusammengezählt, also 11 Betriebssysteme. Microsoft schafft es aber nur mit einer (1!) einzigen Betriebssystemversion, die sogar aufgrund der Aufgabe eigentlich besonders sicher sein sollte, als ein sehr fehlerhaftes Betriebssystem.
Übrigens: Viele beschweren sich von El Capitan, dass einiges nicht mehr funktioniert. Der Grund ist, dass einige (wichtige und sehr gute) Sicherheitsmechanismen implementiert wurden. Zudem würde offenbar kein Mac OS X in dem Top 10 erscheinen, wenn sie wie Win Betriebssystemen die Fehler auf einzelne Systeme aufgeteilt werden würde. => Glaube nur der Statistik, die du selbst gefälscht hast.
Und bei iOS wäre es das Gleiche, was auch richtig im Artikel steht, aber offenbar viele Kommentatoren entweder nicht gelesen haben oder den Text nicht verstehen können.
Gestern noch das sicherste und besteste, heute der Käse mit den meisten Löchern. Irgendwie muss ich grad an Nokia denken und wie schnell dort aus top, flop wurde.
Kurze Erinnerung zur Sicherheit von iOS:
Als der Leak vom anscheinend grandiosen Hacking Team veröffentlicht wurde, kam heraus, dass sie schwerwiegende Sicherheitslücken in Windows, Android, Linux und evtl. Mac OS X ausnutzten. Aber bei iOS konnten sie nur Sicherheitslücken ausnutzen, wenn sie ein Jailbreak hatten. Ohne Jailbreak kamen auch sie nicht an die Daten, obwohl sie gewichtige Gründe haben dort eindringen zu können.
Na immerhin Heise versteht es richtig. Ich darf mal aus dem Artikel zitieren:
„Die CVE-Liste eignet sich nicht als Indikator zur Beurteilung der Sicherheit von Software. Denn nicht jede reale Sicherheitslücke erhält eine CVE-Nummer. Außerdem spielt für die Rangliste keine Rolle, wie viele Lücken tatsächlich von Angreifern ausgenutzt werden, wie groß die Gefahr für die Nutzer dabei ist und wie schnell die Lücken geschlossen wurden.
Zum Beispiel wurden bei Android deutlich weniger Schwachstellen mit CVE bekannt als bei iOS. In der Praxis sind Android-Nutzer jedoch gefährdeter. Das liegt zum einen an der schlechteren Versorgung mit Sicherheits-Updates, zum anderen an der Bedrohung durch Malware: Die meisten Smartphone-Trojaner attackieren ausschließlich Android.
Die Statistik von CVEDetails nutzt außerdem uneinheitliche Zählweisen: Lücken in Windows 7, 8, 8.1 und 10 werden getrennt aufgeführt, die unterschiedlichen Versionen von Mac OS X hingegen in einem Eintrag zusammengefasst.“
Kompletter Artikel unter: http://www.heise.de/newsticker.....57259.html
Das ist wie Geldstücke zählen ohne deren Wert zu betrachten.
Da kann ich lauter „kleine“ Lücken im System haben und trotztem sicherer sein als mit nur einer „großen“ lücke (z.B.Stagefright).
Eine Verdopplung bei der Zahl der Sicherheitslücken, wie der Autor selbst einräumt, ist also ein „leichter“ Anstieg, soso – hier schreiben echt nur Fanboys …
Und zu einigen Kommentaren hier: Dass Apple-Nutzer seltener angegriffen würden, könnt ihr ja mal den Fappening-Opfern erzählen.
Seht’s ein: Apple produziert immer mehr Müll!