Apple ignoriert Hinweise auf mehrere Sicherheitslücken in OS X
Nicht nur Adobe und Microsoft, auch Apple lässt derzeit Verantwortungsgefühl vermissen, wenn es um die Sicherheit der eigenen Kundschaft geht. Google hat in den letzten Tagen Details zu drei OS-X-Sicherheitslücken veröffentlicht (1, 2, 3), nachdem Apple diese innerhalb von 90 Tagen nicht behoben hat.
(Bild: Shutterstock)
Die dieser Veröffentlichung zugrunde liegende 90-Tage-Regel soll die betroffenen Unternehmen zu schnellerem Handeln zwingen. Das Google Security Team dient als neutrale Sammelstelle für Schwachstellen, kategorisiert diese und teilt die Details zunächst nur den betroffenen Unternehmen mit. Erst wenn wenn der Fehler innerhalb von 90 Tagen nicht behoben wurde, wird durch die Veröffentlichung der Sicherheitslücken zusätzlicher Druck aufgebaut.
Alle drei derzeit bekannten Sicherheitslücken setzten den physischen Zugriff auf einen Mac voraus und sind daher vielleicht nicht ganz so heikel, wie die heute bereits gemeldete Flash-Schwachstelle. Dennoch bietet sich damit Unbefugten die Möglichkeit, einen Mac zu manipulieren, und die Fehler werden von Google dementsprechend „als“ schwer eingestuft. Somit ist nicht nur ein fehlerbehebendes Update für OS X dringend nötig, viel wichtiger wäre es im Moment, auch diese vorhandenen Sicherheitsprobleme zu beseitigen.
Ohne nun Apple nun jetzt in Schutz zu nehmen aber 10.10.2 steht ja schon in den Startlöchern und es ist da ja auch eine Neue Beta gekommen. Eventuell sind dort ja auch schon einige der gemeldeten Lücken geschlossen worden.
Vielleicht ignoriert apple ja die Hinweise ja gar nicht, sondern hat schlicht kein fähiges Personal welches im Stande ist, die Lücken zu schließen
Die sind halt alle damit beschäftigt die Dinger noch flacher zu gestalten.
Je flacher etwas ist, desto weniger Lücken passen da hin.
Sehe ich genauso! Steve fehlt an allen Ecken! Wenn Apple so weitermacht, wie in den letzten 2 Jahre, gibt’s Apple in 10 Jahre nicht mehr. Beobachte dies selbst sehr genau.
Laut imore enthält die 10.10.2 Beta die Fixes für die in Yosemite offenen zwei Lücken
Wird Google dann auch Sicherheitslücken in Android-Versionen, für die es seitens der Smartphone-Hersteller keine Updates mehr gibt, nach 90 Tagen veröffentlichen?
Die Liste wäre zu lang, das tut sich niemand an so etwas zu veröffentlichen.
Was sollen die denn schreiben?
Android ist eine große Sicherheitslücke.
Google selbst auch.
Android ist die Sicherheitslücke xD
Android ist doch seit der ersten Generation nur Schrott pur! Sicherheitslücken ohne Ende. Für Hacker, die durch die Stadt laufen, ein Spaß diese zu attackieren. Daten abzugreifen, sonst nix.
Jeder Computer, Server, PC, Mac ist potentiell gefährdet, wenn man „physikalischen Zugriff“ darauf hat. Ok, das ist kein Grund, eine Sicherheitslücke zu verharmlosen, aber dass sich Apple in diesem Fall nicht aus der Ruhe bringen lässt, ist verständlich.
Ich warte ja immer noch auf die erste FlyBy-Sicherheitslücke samt funktionierendem Exploit in OS X, also das für Windows, Android und Co. typische Einfangen von Malware bei bloßem Ansurfen von Webseiten – ohne Benutzerinteraktion! Sicherheitslücken in Flash, Java und Javascript zählen nicht, das hat man als verantwortungsbewusster Benutzer eh nicht installiert bzw. deaktiviert.
Was phys. Zugriff angeht ok. Aber das Statement zu Flash,Java, etc ist einfach nur Schwund, es gibt einfach Benutze die das nicht wissen (können). Diese als verantwortungslos zu bezeichnen ist bestenfalls arrogant.
Ah, Du hast als verantwortungsbewusster Nutzer also Javascript auf Deinem Rechner deaktiviert? Damit fallen also bei Dir schon mal weite Teile des Web 2.0 flach und mit dem Firefox kannst Du auch nicht unterwegs sein, da kann man wie ich gelesen habe Javascript gar nicht mehr deaktivieren. Und unter iOS Javascript zu deaktivieren dürfte auch schwierig werden. Vor allem deshalb, weil dann viele Seiten weitgehend unnutzbar werden.
javaScript deaktiviert? Wie willst du dann überhaupt eine Internetseite benutzen. Es gibt doch mittlerweile kaum noch Seiten die ohne JavaScript funktionieren o_O
Sehe ich genauso, bei physikalischen Zugriff hat man wohl ein privates Sicherheitsproblem das behoben werden muss, da brauch es keinen Exploid um ein System zu kompromittieren…..
nach meinem Kenntnisstand sind die Lücken in der aktuellen Beta gefixt!
Apple ist aber leider für die Allgemeinheit zu spät dran!
hej Leute, die paar Männekes bei Apple sind mit ganz anderen Dingen beschäftigt… Geldschaufeln von A nach B, Steuerlast drücken, … Sicherheitslücken…? Dafür ist keine doch Zeit, keine Leutz, … der nächste Umsatzbringer wird bald rausgehauen. Bei Apple stimmen die Prioritäten!
Wie alt bist du? 12?
Schonmal waa von Ironie gehört?
Was heißt hier „nicht nur Microsoft..“ ?
Haben die Autoren bitte mal verglichen innerhalb welcher Fristen Microsoft und Apple jeweils ihre Softwarelöcher schließen ?
Dabei dürfte Microsoft überaus positiv abschneiden.
Da ist ein Link hinterlegt und das Wörtchen „derzeit“ deutet an, dass es sich um die aktuelle Situation und nicht um eine allgemeine Bestandsaufnahme handelt.
So siehts aus, gerade Apple ist nicht gerade berühmt dafür, in dieser Hinsicht zu glänzen.
Die Frage mag blöd klingen – aber wozu braucht man den FlashPlayer und Java genau? Und wenn ich diese nicht nutzen möchte, gibt es Alternativen?
Danke Euch :-)
Alternative: HTML 5 ;)
Braucht man i.d.R. nicht. Es gibt aber hin und wieder Software, die eine Java-Installation voraussetzt (z.B. Cyberduck vor Version 4.4) Flash brauch man, wenn man seine tollen Facebook-Spiele spielen möchte oder Werbebanner nutzen gerne Flash.
Danke für die Info! Also bei Facebook habe ich alle (!) Spiele auf der /ignore-Liste :D und bei Java warte ich dann mal, bis ein Programm meckert und das haben will. Ist Java denn auf dem Mac „vorinstalliert“ bzw. automatisch enthalten/aktiviert? Oder müsste ich das separat downloaden und installieren?
Flash ist auf OSX nicht vorinstalliert. Nach manueller Installation liegt es in den Systemeinstellungen.
Abseits von Werbebannern war Flash u.a. lange Zeit eine verbreitete Möglichkeit, Videocontent im Netz darzustellen. Inzwischen gibt es HTML5 als modernen Ersatz, wenn eine Seite nicht darauf umstellen kann, wird ein grauer Bereich mit einem Hinweis auf das fehlende Flash-Plugin gezeigt. Ein Klick darauf würde dann auf die entsprechende Adobeseite führen.
Java ist im Gegensatz zu Javascript eine Laufzeitumgebung um Programme, die plattformübergreifend mit Java entwickelt worden sind, ausführen zu können. Die Idee hinter Java war u.a. Programme einmal zu entwickeln und dann unter Mac, Win und Linux ausführen zu können, wenn dort die Java Engine installiert wurde. Wenn Du Programme nutzen willst, die Java benötigen, musst Du auch Java installiert haben. Dies trifft zum Beispiel auch auf Programme zu, die man zunächst nicht im Verdacht hat, wie z.B. bestimmte Photoshop-Versionen, MediathekView (ein Programm, um die Videos der ÖR Mediatheken anzuschauen und herunter zu laden, aber auch Programme von Apple, wie zum Beispiel die Admin-Oberfläche des Filemaker Servers). Es gab Zeiten, da war Java sehr beliebt bei bestimmten Programmierern und wenn Oracle nicht so geschlafen hätte hinsichtlich der Sicherheitsarchitektur von Java wäre das möglicherweise heute noch so.
Installier Dir auf Firefox das Addon „NoScript“ und lass das im Hintergrund laufen. Du wirst erstaunt sein, wieviele Webseitenbetreiber noch auf Flash oder Java setzen. Funktioniert im Wesentlichen wie LittleSnitch. Du kannst deine Standardseiten „durchwinken“ und bei unbekannten Seitenanbietern verweigerst Du einfach das Ausführen von Scripten. Hat bei mir zu einem gesteigerten Wohlfühlfaktor beim Surfen geführt.
Vielen Dank für Eure Hilfe und Tipps!
Nutze auf meinem Mac bisher ausschließlich Safari. Den FlashPlayer werde ich nicht mehr installieren, auch nicht nach dem Update von heute mit der Schließung der zweiten Sicherheitslücke. Habe mir für Safari „ClickToFlash“ als PlugIn von Apple installiert und werde mal sehen, ob das für meine Bedürfnisse ausreicht :-)
Physischer Zugriff (nicht physikalisch)
… „als“ schwer … ???
Auf dieser Website wird ja auch Flash Werbung eingeblendet – oder halt nicht, wenn man Flash deaktiviert oder gar nicht installiert hat
Die sollten auf 60 Tage verkürzen damit apple und co. nich mehr unter Druck geraten.