Apple verschlief gravierende Sicherheitslücke

Am 11. Januar 2009 veröffentlichte Brian Mastenbrook eine gravierende Sicherheitslücke in der RSS-Funktionalität des «Safari»-Browsers von Apple, mit Security Update 2009-001 vom 12. Februar 2009 wurde diese Lücke durch Apple behoben.

Vier Wochen sind zu lang für das Beheben einer derart gravierenden Sicherheitslücke, doch Apple benötigte in Tat und Wahrheit noch länger – Brian Mastenbrook hatte die Sicherheitslücke bereits am 11. Juli 2008 an Apple gemeldet! 🙄

Once I discovered the issue, I promptly reported it to Apple, including a proof of concept which demonstrated reading a local file. This issue was reported on July 11, 2008. After six months passed without a fix, I decided to post a warning on January 11, 2009, due to my judgement that this issue could be exploited at any time as long as it remains unfixed.

Apple vernachlässigt weiterhin die Sicherheit von Mac OS X, was früher oder später katastrophale Folgen für Mac-Anwender haben wird – Lesenswertes dazu und zur RSS-Sicherheitslücke selbst findet sich im jüngsten Blogeintrag von Brian Mastenbrook, aus dem auch das obige Zitat stammt … zum Abschluss das unerfreuliche Fazit aus dem erwähnten Blogeintrag:

OS X users are at this point in the unenviable situation of hoping that Apple starts taking these issues more seriously before phishing exploits, drive-by malware, and viruses become widespread on the platform. There is little preventing that at the moment, and little users can do to protect themselves, other than to encourage Apple to address these issues at every opportunity.

6 Comments

  1. Devblogger
    20. Februar 2009

    Und trotzdem benutzt du einen Mac, oder? 😉

    Reply
  2. Neo
    20. Februar 2009

    Alternativen? Keine.

    Falls doch: Wie wechseln? Der Aufwand wäre gigantisch.

    Das Problem: Apple ist „sicher“, weil eine Minderheit. Mit dem Switcher wird Apple gefährlicher: Apple ist weniger Minderheit und es kommen Windoof-Praktiken auf den Mac.

    Reply
  3. zingo
    20. Februar 2009

    Apple’s Mac OS X Update Breaks Perl:
    http://developers.slashdot.org/article.pl?sid=09/02/18/1435227

    Reply
  4. Martin (MacMacken)
    21. Februar 2009

    Apple’s Mac OS X Update Breaks Perl:
    http://www.stroica.com/fehlerhafte-links/

    Peinlich … wie überhaupt mit Mac OS X standardmässig installierte Software häufig veraltet ist, CUPS ist diesbezüglich ein Dauerbrenner:

    http://www.macmacken.com/tag/cups/

    Reply
  5. eragon
    12. Juni 2009

    Da sieht man mal, dass Macs doch nicht mehr so sicher sind.

    Reply
    • Martin (MacMacken)
      12. Juni 2009

      Ja und nein – absolut gehen sind Macs gleich oder weniger sicher als PC («less secure»), relativ gesehen aber nach wie vor sicherer («more safe») – was sich selbstverständlich ändern kann und mit zunehmender Mac-Verbreitung vermutlich auch ändern wird.

Leave a Reply