@Scotch:
1) Wenn es nicht "kritisch" wäre, wäre es für alle praktischen Zwecke keine Sicherheitslücke.
Sicher, über eine unkritische Sicherheitslücke könnte man evt. Safari zum Absturz bringen… na und? Solang sich damit kein Schadcode ausführen lässt, ist das nicht viel mehr als eine Spielerei. Ärgerlich? Ja. Aber ungefährlich.
2) In Bezug auf die Bezeichnung "nichts Schlimmes" [Achtung, dieser Abschnitt ist länger geworden als ich geplant hatte…]
Ich verstehe eure beiden Ansichten und kann beide sehr gut nachvollziehen, wobei ich selbst eher dazu tendieren würde, dieser Bezeichnung zuzustimmen. Ja, natürlich ist es hässlich auf so einer potentiellen Gefahr zu sitzen — andererseits gibt es regelmäßig solche Sicherheitslücken (mit jedem Sicherheitsupdate, jedem Systemupdate, jedem Update für Safari oder Quicktime werden ein paar neue behoben) und die einzige nennenswerte Malware für Mac OS X hat nicht solche Sicherheitslücken ausgenutzt sondern sich als Trojaner in illegalen Softwaredownloads versteckt.
Theoretisch ist es gefährlich, seine Haustür offen stehen zu lassen. Aber in manchen Gegenden ist es trotzdem üblich, weil
nie etwas passiert.
Der Mac ist — zumindest bisher — so eine Gegend.
Auch das Beheben einer Sicherheitslücke in Samba nach zwei Monate ist per se nichts Schlimmes:
Zum einen beruht ein großer Teil des Aufwandes beim Veröffentlichen neuer Software (egal ob ganze Programme oder "nur" Sicherheits-/Systemupdates) aus dem Testen. (Ist beispielsweise die neue Version von PHP mit dem gesamten System kompatibel oder kann es zu Problemen kommen, weil andere Systemkomponenten sich an irgendeiner Stelle auf den jetzt behobenen Bug verlassen hatten?) Je nach Umfang der Software kann das u.U. einige Wochen dauern. Ich vermute, dass genau dies auch der Grund ist, warum Apple mit dem Sicherheitsupdate nur PHP 5.3.2 mitliefert, obwohl seit etwa einem Monat Version 5.3.3 erhältlich ist. Es gibt eine interne Deadline, nach der das fast-fertige Sicherheitsupdate nur noch getestet wird;
keine neuen Fixes werden hinzugefügt.
Die Ungeduld der Nutzer ist verständlich — andererseits ist es aber auch gut und richtig, dass Apple soetwas ausgiebig testet. Es gab schon Installer, die durch einen kleinen Bug die ganze Festplatte gelöscht hat (und du willst vermutlich gar nicht wissen, was für Probleme mit solchen Updates bei der Apple-eigenen Qualitätskontrolle schon aufgefallen sind…)
Andererseits:
Einige Wochen von diesen zwei Monaten könnte der Bugfix bei Apple rumgelegen haben (Code fertig, alle Tests bestanden) und nur darauf gewartet, endlich als Teil des nächsten Sammelupdates released zu werden — hier stimme ich dir prinzipiell zu, dass dies an sich keine gute Idee ist! Aus Apples Sicht ist es ein unbequemer Kompromiss zwischen Sicherheit auf der einen Seite und Aufwand sowie Verunsicherung der Nutzer auf der anderen Seite.
Denn das extreme Gegenteil wäre, für jeden einzelnen Fix ein eigenes Update herauszubringen. Doch das wäre zum einen ein Heidenaufwand, außerdem ist es aus Sicht der Nutzer sehr unangenehm, 1-3 Mal pro Woche zum Neustart gezwungen zu werden (ganz zu schweigen davon, dass so häufige Sicherheitsupdates einen irgendwann auch paranoid werden lassen können
). Im schlimmsten Fall wäre das Resultat, dass die Nutzer lernen, Updates grundsätzlich zu ignorieren — was ein noch viel größeres Sicherheitsrisiko darstellen würde.
Insgesamt ist zu bemerken, dass eine sehr ähnliche Strategie von
Microsoft,
Adobe und soweit ich informiert bin auch den meisten anderen großen Softwareschmieden benutzt wird.
Während das Vorgehen also diverse offensichtliche Nachteile hat, sieht es nicht danach aus, als ob es eine deutlich bessere Alternative für große Softwarefirmen gibt.
Schämt euch
