Wie Ars Technica berichtet, hat Google vor wenigen Tagen im Rahmen des Project Zero Informationen über drei Sicherheitslücken in Apples Betriebssystem OS X veröffentlicht. Auf der Seite wird allerdings gesagt, dass keine dieser Schwachstellen als besonders kritisch eingestuft werde, da sie alle einen direkten Zugriff auf den jeweiligen Rechner erforderten.
Zunächst wurde nur eine Sicherheitslücke bekannt gemacht, die sich laut Google im System-Daemon networkd befindet. Sie ermöglicht einem potenziellen Angreifer, über networkd Code auszuführen und damit die Sandbox zu umgehen. Von der Schwachstelle betroffen ist OS X 10.9.5, vielleicht auch frühere Versionen. Das aktuelle OS X 10.10 Yosemite ist offenbar nicht mehr angreifbar. Die zweite Lücke steckt im IntelAccelerator-Treiber und ermöglicht einem potenziellen Angreifer durch eine Null-Pointer-Dereferenzierung, Root-Rechte auf dem System zu erlangen. Die dritte Schwachstelle ermöglicht Angriffe gegen IOKit, sobald ein Bluetooth-Gerät wie z.B. eine Tastatur mit dem Mac-Rechner verbunden ist.
Apple erklärte kurz nach der Veröffentlichung der Schwachstellen, dass sie in Yosemite 10.10.2, welches sich derzeit noch in der Beta-Phase befindet, behoben sein werden. Offenbar hatte Google Apple bereits im Oktober letzten Jahres über die Sicherheitslücken informiert und gemäß der „Responsible-Disclosure“-Politik genau 90 Tage mit der Veröffentlichung der Informationen gewartet.
Wie es auf Apples Sicherheitsseite zu lesen ist, kommentiert das Unternehmen Sicherheitsprobleme nicht, bis Bedrohungen bestätigt und bearbeitet oder als falsch zurückgewiesen wurden: „Zum Schutz unserer Kunden werden Sicherheitsvorfälle von Apple nicht veröffentlicht, diskutiert oder bestätigt, bis eine vollständige Untersuchung stattgefunden hat und die notwendigen Patches oder Releases zur Verfügung stehen.“
Google macht sich derzeit nicht unbedingt Freunde. Schon vor wenigen Wochen hatte das Unternehmen im Rahmen von Project Zero Informationen über eine Sicherheitslücke in Microsofts Windows 8.1 veröffentlicht. Wegen des strikten Vorgehens, nach 90 Tagen automatisch solche Informationen offenzulegen, steht Google häufig in der Kritik. Doch Ben Hawkes verteidigt den Ansatz: „Project Zero geht davon aus, dass solche Fristen in Bezug auf die Sicherheit der Nutzer die optimale Vorgehensweise darstellen – es gibt den Software-Herstellern eine faire und zumutbare Zeit, um ihre Schwachstellen-Managementprozesse durchzuführen, während zugleich die Rechte der Nutzer respektiert werden, die Risiken, denen sie ausgesetzt sind, zu kennen und zu verstehen.“
„Darüber hinaus werden wir die Auswirkungen dieser Vorgehensweise sehr genau beobachten (…). Wir freuen uns, sagen zu können, dass die ursprünglichen Ergebnisse gezeigt haben, dass die Mehrheit der Bugs, die wir gemeldet haben (…) innerhalb der Frist repariert werden, was die harte Arbeit der Hersteller zeigt“, fügte er hinzu.
Picture Credits: Denys Prykhodov / Shutterstock.com