Google deckt schwerwiegende Sicherheitslücke im macOS-Kernel auf

[Martin Wendel]

Google deckt schwerwiegende Sicherheitslücke im macOS-Kernel auf

Das Project-Zero-Team von Google hat Details zu einer schwerwiegenden Sicherheitslücke im macOS-Kernel aufgedeckt. Dieser ermöglicht es Angreifern, ohne Wissen des Benutzers Zugriff auf seinen Computer zu erhalten. Die Sicherheitsforscher haben entdeckt, dass das Virtual-Management-System von bestimmten Modifikationen an einem gemounteten Filesystem nicht benachrichtigt wird. Angreifern soll es dadurch möglich sein, ohne Wissen des Benutzers böswillige Handlungen durchzuführen.
Apple arbeitet an Behebung


Apple wurde vom Project-Zero-Team vergangenem November über die Sicherheitslücke informiert. Da seitdem 90 Tage verstrichen sind und der Fehler noch nicht beseitigt wurde, hat Project Zero nun gemäß der eigenen Richtlinien die Details veröffentlicht. Es handelt sich um branchenübliche Fristen. Apple arbeitet derzeit noch an einem Fix und verspricht diesen für eine kommende macOS-Version. Wann das Update allerdings genau erscheinen wird, ist nicht bekannt. Nähere Details zur Sicherheitslücke können hier nachgelesen werden.

Via 9to5Google

 

[Mure77]

Ich finde 90 Tage ein wenig lang. In solchen Fällen wären, spontan gesagt, 48 Stunden eine angemessene Frist daran zu arbeiten bzw. es danach zu veröffentlichen.

 

[MichaNbg]

48h? Sorry, aber das ist für viele so gefundene Fehler einfach eine unmöglich einzuhaltende Frist um den Fehler zu analysieren, eine Behebung zu entwickeln, die sonst nichts kaputt macht und das ganze dann auch noch in allen möglichen Umgebungen zu testen. Da sind selbst 90 Tage oftmals echt kurz.

 

[Mure77]

48h? Sorry, aber das ist für viele so gefundene Fehler einfach eine unmöglich einzuhaltende Frist um den Fehler zu analysieren, eine Behebung zu entwickeln, die sonst nichts kaputt macht und das ganze dann auch noch in allen möglichen Umgebungen zu testen. Da sind selbst 90 Tage oftmals echt kurz.

48 Stunden Zeit für den Fehler bzw dann sollte es veröffentlicht werden. 90 Tage als User im Dunkeln zu wandeln finde ich unschön.

 

[MichaNbg]

Was hast du dadurch gewonnen? Außer noch mehr Menschen auf die Lücke zu stoßen, die sie vorher vielleicht noch nicht entdeckt haben? Bei der Frist geht es darum, keine Exploits auch noch zu forcieren und dem jeweiligen Unternehmen die Möglichkeit zu lassen, einen Fix zu erstellen, dass die Lücke geschlossen ist bevor sie der Welt gezeigt wird.

 

[Mure77]

Verstehe ich. Insgesamt ist es halt schade, dass es solche Lücken gibt und so was nicht so lange getestet wird bis es sicher ist und es dann released.

 

[Marcel Bresink]

48 Stunden Zeit für den Fehler bzw dann sollte es veröffentlicht werden.

Das ist völlig unrealistisch. In 48 Stunden wird es Apple nicht einmal schaffen, die Beschreibung des Sicherheits-Updates in die 39 Sprachen zu übersetzen, die in macOS verwendet werden.

Von dem Aufwand, die Ursache des Fehlers zu finden, ihn zu analysieren, eine Gegenstrategie zu entwickeln, diese Strategie zu implementieren, die Implementation zu testen, die Kosten für die Veröffentlichung eines Updates unternehmensweit genehmigen zu lassen, und die Änderung in parallel entwickelte zukünftige Systemversionen zu integrieren, mal ganz zu schweigen. Schon eine Behebung in nur 90 Tagen ist für viele Firmen sehr sportlich.

so was nicht so lange getestet wird bis es sicher ist

Wenn Du eine Technik findest, mit der man so etwas testen könnte, wäre Dir der Nobel-Preis sicher. Durch Testen kann man immer nur Fehler finden (aber das auch nicht zuverlässig), aber niemals Fehlerfreiheit.

 

[MichaNbg]

Wenn ich sehe, welche Aufwände wir hier für manuelle und automatisierte QS betreiben, von code analysen bis hin zu end 2 end Testautobahnen und wie viele "Fehler" trotzdem ausgeliefert werden, weil sie einfach an Stellen liegen, die du nicht "testen" kannst bzw. an die selbst hunderte Entwickler, QA-Engineers, Tester und Pilotkunden nicht denken ... oder weil sie nur auftreten, wenn der Mond im dritten Haus des Orions liegt und jemand um Punkt Mitternacht mit dem linken (nicht dem rechten) Fuß gegen den Rechner tritt, während er ein Glas GinTonic trinkt...

Software ist heutzutage derart komplex .... die Unternehmen tun idR das menschenmögliche. Und trotzdem wirst du immer Fehler haben. Wichtig ist, wie du mit den Fehlern dann umgehst, wenn sie gefunden werden.

 

[Joh1]

Verstehe ich. Insgesamt ist es halt schade, dass es solche Lücken gibt und so was nicht so lange getestet wird bis es sicher ist und es dann released.

Wie sollte man sich denn jemals sicher sein das das die Software keine Fehler aufweist?

 

[Mitglied 87291]

@MichaNbg
Trotzdem sind in letzter Zeit auch Dinge passiert, für die man genau nicht solche aufwändigen Szenarien konstruieren muss, wo man sich ernsthaft Fragen kann, wie bei Apple Software getestet wird.

 

[Apfelhonk]

Das Problem ist auch, dass oftmals die Software von Leuten getestet wird, die wissen wie es funktionieren soll. Ich mach zum Teil auch Inbetriebnahmen. Du kommst einfach nicht auf manche Dinge, weil du eben weißt was du tust. Und ein Kunde der das noch nie benutzt hat, der denkt ganz anders und benutzt das ganze System anders und schon tritt ein Fehler auf den du in 100 Jahren nicht gefunden hättest. Am besten ist es, wenn man jemanden dran lässt der keine Ahnung davon hat. Der findet die meisten Fehler. Das dürfte bei iOS scher sein jemanden zu finden der absolut nicht weiß wie man damit umgeht.

 

[ottomane]

Das Problem ist auch, dass oftmals die Software von Leuten getestet wird, die wissen wie es funktionieren soll.

Das wissen gute Entwicklungsabteilungen schon lange und daher wirken sie dagegen.

 

[MichaNbg]

@MichaNbg
Trotzdem sind in letzter Zeit auch Dinge passiert, für die man genau nicht solche aufwändigen Szenarien konstruieren muss, wo man sich ernsthaft Fragen kann, wie bei Apple Software getestet wird.

das ist natürlich eine andere Frage. Es ging ja gerade aber um 48h Frist und die Frage, wieso es überhaupt Fehler in Software gibt. Und das war die Antwort.

Das Apple ein schleichendes Qualitätsproblem bei Soft- und Hardware hat, steht auf einem anderen Blatt und wird von mir bestimmt nicht bestritten.

 

[Apfelhonk]

Das wissen gute Entwicklungsabteilungen schon lange und daher wirken sie dagegen.

Das ist mir schon klar. Nicht umsonst gibt es auch ein Beta Programm. Aber trotzdem kann man nie alles finden. Selbst vermeintlich offensichtliche Fehler rutschen ab und zu durch.

 

[staettler]

48 Stunden Zeit für den Fehler bzw dann sollte es veröffentlicht werden. 90 Tage als User im Dunkeln zu wandeln finde ich unschön.

Du wandelst schon Jahre im Dunkeln. Da kommt es auf die 90 Tage auch nicht drauf an.

 

[Dareonsky]

Verstehe ich. Insgesamt ist es halt schade, dass es solche Lücken gibt und so was nicht so lange getestet wird bis es sicher ist und es dann released.

Da Software heutzutage generell nicht simple ist und ein OS schon gar nicht, ist es schlicht und einfach unmöglich alle bedenklichen Fehler zu beachten. Dazu kommen noch solche, auf die man gar nicht kommen würde, da die cases, die dazu führen würden, zu "verrückt" erscheinen. Hier und da passieren sie trotzdem, da Menschen zu allem fähig sind "auch im verrückten bzw. negativen Sinne".

Fazit: Man erstellt eine Menge zu testenden cases, die durchgearbeitet werden und gefixt falls nötig. Alles andere kommt dazu im Laufe der Benutzung.