Feature XARA: Apple soll schwerwiegende Sicherheitslücke in OS X und iOS seit Monaten bekannt sein

[Martin Wendel]

XARA ist ja nicht eine Lücke, sondern eine Kombination verschiedener Exploits (und auch unterschiedlich zwischen iOS und OS X, OS X dürfte stärker betroffen sein).

 

[tjp]

Unverständlicherweise haben die Entdecker den Exploit unabhängig davon nach genau diesen 6 Monaten öffentlich gemacht. Und wenn DAS stimmt, ist das einfach nur eine Sauerei!

Es ist eine Sauerei, daß Apple solange braucht auch nur darauf zu reagieren! Weder wurden die Kunden gewarnt noch wurde das Problem grundsätzlich behoben. Sich darüber aufzuregen, daß nun die Forscher endlich den Exploit öffentlich machen ist nicht angemessen. Wie bereits beschrieben, werden solche Exploits sehr gerne auf dem Schwarzmarkt gehandelt und über viele Monaten hat Apple die Kunden wissentlich der Gefahr dieses Exploits ausgesetzt.

 

[rootie]

Apple hat laut dem Bericht direkt im September darauf reagiert mit der Bitte, 6 Monate Zeit zu bekommen.

 

[simmac]

Dass Apple mittlerweile neue Developer Previews veröffentlicht hat, aber noch keinen Fix für diese Lücke ist für mich Indiz genug, dass Apple NICHT mit Hochdruck an dieser Sicherheitslücke arbeitet.

 

[beeker2.0]

Zu viele Annahmen, Rätsel und Deutungen hier. Bisheriges Ergebnis: no fix.

 

[technikelse]

Dass Apple mittlerweile neue Developer Previews veröffentlicht hat, aber noch keinen Fix für diese Lücke ist für mich Indiz genug, dass Apple NICHT mit Hochdruck an dieser Sicherheitslücke arbeitet.

Und auf die Idee, dass es unterschiedliche Teams bei Apple gibt bist durch noch nicht gekommen? In dem Softwareunternehmen für dass ich arbeite, arbeiten nicht alle fast 70.000 Mitarbeiter gleichzeitig an demselben Problem.

 

[simmac]

Und auf die Idee, dass es unterschiedliche Teams bei Apple gibt bist durch noch nicht gekommen? In dem Softwareunternehmen für dass ich arbeite, arbeiten nicht alle fast 70.000 Mitarbeiter gleichzeitig an demselben Problem.

Das Sicherheitsteam muss ja auch an den Major Releases arbeiten. Da sich die Developer Preview nicht verzögert hat, heißt das für mich, dass sich das Sicherheitsteam nicht vollständig auf die Lücke konzentriert hat.

 

[technikelse]

Das Sicherheitsteam muss ja auch an den Major Releases arbeiten. Da sich die Developer Preview nicht verzögert hat, heißt das für mich, dass sich das Sicherheitsteam nicht vollständig auf die Lücke konzentriert hat.

Das Sicherheitsteam besteht aber nicht nur aus ein paar Hanseln. Da gibt es schon ein paar mehr. Außerdem hat "alle Mann auf ein Problem" in der Softwareentwicklung noch nie geholfen. Das funktioniert vielleicht beim Deichbruch mit den Helfern, die Sandsäcke herbeiholen und stapeln. In professionellen arbeitenden Softwareunternehmen konzentrieren sich ein paar Leute auf ein Problem und der Rest arbeitet normal weiter. Sonst müsste man bei jedem Problem seine komplette Planung umwerfen.

 

[Farafan]

Außerdem hat "alle Mann auf ein Problem" in der Softwareentwicklung noch nie geholfen.

Wie wahr.

Aus eigener Erfahrung kann ich sagen das an hoch komplexen Problemstellungen am effektivsten ein sehr kleines Team oder sogar nur eine einzelne Person arbeitet.
Je mehr Köche hier die Suppe versalzen umso größer ist die Gefahr das hinterher das Chaos noch viel schlimmer wird.

 

[rootie]

So ist es!

 

[simmac]

Nun ja, wenn Apple nach 9 Monaten kein Ergebnis hat muss entweder das Problem so groß sein, dass sich sehr wohl mehrere Leute damit beschäftigten müssen (und praktisch das gesamte Sandboxing-System neu schreiben), oder Apple hat sich einfach nicht darum gekümmert.

 

[rootie]

Das stimmt! Aber wir wissen es nicht was hinter den Kulissen abgeht. Von daher darf man weder das eine noch das andere als gegeben voraussetzen!

 

[technikelse]

Nun ja, wenn Apple nach 9 Monaten kein Ergebnis hat muss entweder das Problem so groß sein, dass sich sehr wohl mehrere Leute damit beschäftigten müssen (und praktisch das gesamte Sandboxing-System neu schreiben), oder Apple hat sich einfach nicht darum gekümmert.

Ich kann mir nicht vorstellen, dass sie sich nicht darum gekümmert haben. Es gibt Probleme, die sind leider etwas komplexer. Und auch wenn es dringend erscheint eine Lösung zu finden, so kann es länger dauern eine stabile und nachhaltige Lösung in die Architektur zu integrieren. Eine schelle Lösung schafft häufig mehr Probleme als erstmal gar keine. Manchmal hat man eben nur die Wahl zwischen Pest und Cholera.

 

[Farafan]

....oder Apple hat sich einfach nicht darum gekümmert.

Hast du schon einmal an einer Infrastruktur gearbeitet die über viele Jahre gewachsen ist? Nicht ohne Grund ist die goldene Regel der IT "Never change a runnig system".

Was nützt es wenn ich ein Problem aus der Welt schaffe und damit eine Lawine von neuen Bugs anstoße? Dann wäre das Geschrei erst recht groß von wegen "Versager" und "Dilettanten".

 

[sternenstaub]

El Capitan wird gerade komplett umgeschrieben damit es zum Start nicht El Kapitalfehler wird. Braucht halt was. Gut Ding will Weile haben.

Mir ist es auf jeden Fall lieber, die machen nicht nur die Türe zu sondern verpassen dem Türrahmen richtig fette Bolzen an denen sogar ein Terminator abprallt. Ganz oder garnicht. Ein HotFix nur um die User zu beruhigen und aus der Negativpresse zu kommen ist langfristig ein Schuss ins Knie.

 

[technikelse]

Hast du schon einmal an einer Infrastruktur gearbeitet die über viele Jahre gewachsen ist? Nicht ohne Grund ist die goldene Regel der IT "Never change a runnig system".

Und wenn es dann doch gemacht wurde heißt es häufig: "when the shit hits the fan."

 

[simmac]

Was nützt es wenn ich ein Problem aus der Welt schaffe und damit eine Lawine von neuen Bugs anstoße? Dann wäre das Geschrei erst recht groß von wegen "Versager" und "Dilettanten".

Deswegen: Zeit lassen beim Problem lösen ist ok (wobei mir 9 Monate extrem viel erscheinen). Dann aber nicht gleichzeitig OS X 10.11 und iOS 9 entwickeln. Erst diese Sicherheitslücke abhaken und dann weiter die 500 neuen Features einbauen.

Es gibt Probleme, die sind leider etwas komplexer. Und auch wenn es dringend erscheint eine Lösung zu finden, so kann es länger dauern eine stabile und nachhaltige Lösung in die Architektur zu integrieren. Eine schelle Lösung schafft häufig mehr Probleme als erstmal gar keine.

Das ist klar. Wenn dieses Problem aber soo komplex ist, dann sollte man nicht zeitgleich das System an anderen Stellen für den nächsten Release verschlimmbessern, sondern auf die Lösung des Problemes warten (sonst schafft man sich neue Probleme). Das gilt gerade bei so komplexen Fehlern.

 

[Farafan]

....wobei mir 9 Monate extrem viel erscheinen

Am y2k-Problem wurde jahrelang gearbeitet. Und dies teilweise ohne jeglichen Erfolg. (Wenn auch hiervon die Öffentlichkeit glücklicherweise fast nichts erfahren hat)

 

[technikelse]

Das ist klar. Wenn dieses Problem aber soo komplex ist, dann sollte man nicht zeitgleich das System an anderen Stellen für den nächsten Release verschlimmbessern, sondern auf die Lösung des Problemes warten (sonst schafft man sich neue Probleme). Das gilt gerade bei so komplexen Fehlern.

Ich gehe mal davon aus, dass sie die Lösung gleich in das neue System integrieren. Alles andere wäre dumm.

 

[simmac]

Ich gehe mal davon aus, dass sie die Lösung gleich in das neue System integrieren. Alles andere wäre dumm.

Wie gesagt, man sollte einmal die Lösung abwarten, bevor man durch sonstige Veränderungen im System das ganze noch schlimmer macht, als es eh schon ist...
Und ich hoffe ja, dass es auch Patches für ältere Versionen geben wird.