9 Fragen für Tim Cook & Co.
Meltdown & Spectre: Repräsentantenhaus hinterfragt lange Geheimhaltungsfrist
Mit dem House Committee on Energy and Commerce hakt ein Ausschuss des US-Repräsentantenhauses bei den frühzeitig über die Schwachstellen informierten Unternehmen in Sachen Meltdown und Spectre nach. Hinterfragt wird die Übereinkunft von Apple, Amazon, AMD, ARM, Google, Intel und Microsoft, ein halbes Jahr lang Stillschweigen über die Angelegenheit zu wahren.
Zunächst ist es natürlich nachvollziehbar und auch sinnvoll, dass derart schwerwiegende Sicherheitslücken nicht an die große Glocke gehängt werden, sondern zunächst entsprechende Gegenmaßnahmen eingeleitet werden. Das Interesse der Kongressabgeordneten ist dennoch nachvollziehbar: Sollten bei derart gravierenden Fällen nicht weitere Stellen mit einbezogen werden, beispielsweise weil auch die Sicherheit von Versorgungs- und medizinischen Einrichtungen gefährdet ist? Zudem wird kritisiert, dass das durch „Stillschweigen der Großen“ etliche kleinere Unternehmen von den Enthüllungen kalt erwischt wurden.
Die Vorsitzenden der beteiligten Unternehmen, darunter auch Apples Tim Cook, sollen einen Katalog von neun Fragen beantworten. Neben den Beweggründen für die lange Geheimhaltungsfrist sollen die Firmen insbesondere auch Auskunft über eigene Analyseergebnisse und in diesem Zusammenhang ergriffene zusätzliche Sicherheitsmaßnahmen geben. Gestern erst hat Apple entsprehcende Updates für die älteren Betriebssystemversionen macOS Sierra und El Capitan verteilt.
Das Schreiben an die Firmenchefs lässt sich hier als PDF einsehen. Via CNBC.
interessant
Halbes Jahr früher oder später .. macht den Kohl auch nicht fett..Fakt ist das das Problem seit einem halben Jahr oder mehr bekannt ist … bestehen ….bestehen tut es seit mehr als zwanzig Jahren.
Seit mehr als zwanzig Jahren? Da vertust du dich aber sehr arg.
Es sind alle Intel Prozessoren seit 1995 betoffen.
Damit sind es 23 Jahre.
Ob dein Rechner gestern abgetaucht ist oder erst in einem halben Jahr ist auch nicht wichtig…
Puh… manchmal sind einige hier ziemlich anstrengend.
abraucht
Es ist ja auch die Frage: wenn staatliche Stellen, dann welche/wessen…
Sorry, aber wir in Deutschland haben recht wenig davon, dass ein Informatikunternehmen solche Fehler einer amerikanischen Regierungsstelle mitteilt, die dann eine Gag-Order ausspricht, und der amerikanische Geheimdienst sich diese Schwachstelle zu Nutzen macht.
Dieses Szenario, vor Allem unter Berücksichtigung des „Trump-Faktors“ („Wer hat den Größten?(red button)“) ist extrem beängstigend!
Also, wenn eine Regierung im Vorfeld darüber informiert wird, dass und wie sie Daten weltweit abgreifen können, bevor ein Schutz draussen ist…
hmm
Wobei mein Kopf unterm Aluhut fragt, ob diese Lücke nicht schon länger von der Fraglichen stelle genutzt wurde? Ich liebe Verschwörungstheorien;o)
Heute ist es ein halbes Jahr, morgen einigt man sich auf vollständiges Vertuschen. Eine regulierende/kontrollierende Instanz kann nicht schaden.
Wenn man einmal das Vergehen von VW und die dadurch entstandene Strafe mit dem der Prozessorhersteller vergleicht…. hmm…, fällt schwer.
VW hat es bewusst frisiert, bei den Prozessoren war es unüberlegt – würd ich mal sagen.
Die NSA hätte sicher früher mit den Updates für deren Trojaner begonnen. Nachvollziehbar.
Die NSA hätte sicher früher, vor den Updates, mit dem Trojaner begonnen
Wieso hätte ? Wer sagt denn, dass es nicht schon so ist, dass sie nicht bereits ausgenutzt haben ?
Man sollte Apple eher fragen, warum sie kein Update für Geräte mit iOS 10 bereitstellen. iOS 11 ist ja, wie in einem früheren ifun-Artikel beschrieben, nur auf 65% der Geräte installiert.
Früher haben sie ja auch iOS 6.1.6 veröffentlicht, um einen SSL-Fehler zu beheben (zu einem Zeitpunkt, an dem iOS 7 schon auf über 80% der Geräte installiert war).
Wow es gibt tatsächlich noch vernünftige kommentare. Würde mich auch interessieren.
ich tippe mal darauf dass das ssl Thema nicht so gravierend bzw tief verwurzelt war im kernel wie dieses Prozessor Thema. da apple jetzt aber auch für ältere macOS Systeme einen Patch/Update nachgeschoben hat lässt mich das aber auch für ios10 hoffen.
Die Frage ist doch, warum Intel, MS, Apple und Linux nicht schon seit langem/sofort Patches bereit stellen? Es scheint doch so, als wenn die (besonders Intel) jetzt erst an Lösungen zu arbeiten beginnt. Soweit ich weiß, hat zwar MS nach dem Bekanntwerden bereits Patches veröffentlicht, Apple aber noch nicht für alle Plattformen. Und Intel auch noch gar keine funktionierenden. Wofür wurden denn die letzten 6 Monate genutzt? Normalerweise werden diese Security-Bugs ja auch erst released, wenn es Patches gibt, damit die keiner ausnutzen kann. Nur wenn sich das Unternehmen gar nicht meldet, wird die Security-Issue auch ohne Lösung released. Ich kann mir aber nicht vorstellen, dass so viele Unternehmen gleichzeitig zu keiner Lösung bereit sind. Also irgendwas stinkt da …