Apple läßt sich mal wieder bitten … und tunnelt, was ein notwendiges, aber seit Wochen ausbleibendes Sicherheitsupdate angeht. Zwar ist Apple nicht der einzige Hardware-Produzent, den das angeht. Das macht es allerdings auch nicht besser.

Handelt Apple hier nach dem Motto "Was der Kunde nicht weiss, macht ihn nicht heiss", oder wie soll ich das auffassen?

Apple wird doch als "unknown" aufgeführt. Vielleicht ist es einfach nicht nötig?

"Unknown" bezieht sich hier nicht auf einen in Apples Augen vermeintlich unnötigen Hinweis auf ein gar nicht existierendes UEFI-Sicherheitsproblem, sondern "unknown" heißt schlicht, daß Apple bisher nicht darauf geantwortet hat.

Zumindest hatte Apple das EFI längst vor der Intel UEFI-Implementierung in den Macs, der Bug muss deshalb nicht zwingend drin sein. Hast du einen Hinweis darauf, dass ein Firmware Update notwendig ist bzw. der Fehler bei Apples EFI reprozudierbar ist?

Apple verwendet nicht UEFI sondern EFI.... Dies ist der Vorläufer von UEFI.
Es gibt keinen Hinweis darauf das dieser Bug auch auf die Apple Firmware zutrifft.

Das Apple nicht antwortet ist zwar ärgerlich aber nicht unverständlich. Wird doch in jenem Bericht EFI mit keinem Wort erwähnt sondern eben nur UEFI.

Hm, ich hab grade Threads , zum heise.online-Artikel gelesen, mehr kann ich momentan auch nicht dazu sagen als Laie.

Na ja, nur weil es vielleicht noch keinen Hinweis auf einen Bug gibt, beweist nicht automatisch, dass Apple mit seiner Hardware fein raus ist.

Wie gesagt, Apple hat – auf Nachfrage – nicht geantwortet.

Ja, ich weiß. Also heißt es, dass gar nicht klar ist, ob das überhaupt nötig ist und ob Apple überhaupt betroffen ist.

...muss das nicht UEFA heissen?

… dann wäre Apple ja auch garnicht zuständig. Hach, Problem gelöst dank mactelge

Apple wird ja nicht von "irgendwem" befragt, vielmehr sind es die EDV-Sicherheitsfachleute des Computer Emergency Response Team (CERT) an der Carnegie Mellon University in Pittsburgh, USA.
CERT finanziert sich u.a. aus öffentlichen Mitteln des US-amerikanischen Verteidigungsministeriums. Die Leute sind spezialisiert auf das Finden (und Bekämpfen) von IT-Sicherheitslücken und haben sich also etwas dabei gedacht, Apple anzuschreiben.

wenn du laie bist dann stelle keine Behauptungen auf

… und Apple wird sich etwas dabei gedacht haben, nicht zu antworten. Alles eine Frage der Macht. Wenn der Staat von Apple will, dass sie für die Geheimdienste Türen einbauen, dass man an Rechner rankommt, dann ist das sicherlich nicht im Interesse der Benutzer. Und wenn eben eine vom Militär finanzierte Uni-Gruppe der Meinung ist, dass Apple sich outen soll, dann sagt Apple, ihr könnt uns mal. Wir entscheiden, wann wir uns um welches Problem kümmern und wir werden Euch keinen Einblick gewähren, denn das ist unsere Sache.

Wenn normale Verhaltensregeln nicht eingehalten werden, dann geht es um etwas anderes, was höher wiegt: Macht.

So, wie Du locker daherkommst und Deine Ansicht zum Besten gibst: kannst Du Dir vorstellen, dass das amerikanische Militär und Geheimdienste jede Möglichkeit nutzen, um Apple unter Kontrolle zu bekommen? Und kannst Du Dir vorstellen, dass es genau das ist, was Apple verteidigen möchte?

Apple "verteidigt" sich nicht, wie Du unterstellst, Apple antwortet nicht.

Das "Militär" verfolgt seinen informellen Zuwachs und dadurch vergrössert es seine Machtstellung, das ist der Job jedes Militärs auf der ganzen Welt. Das ist nicht neu und bedarf daher keines sonderlichen Appels an meine Vorstellungskraft.

Persönliche Anwürfe täuschen mich aber nicht darüber hinweg, dass es sich hier vielleicht um ein Sicherheitsproblem handelt, was alle User betrifft, und nicht Apples vermeintliche Geheimhaltungsinteressen gegenüber der amerikanischen Regierung. Das ist obsolet, siehe Security Act.

im Heise Artikel steht das es was mit Windowsprozessen zu tun hat (Schaubilder und Text) - was hat das mit Apple zu tun - wird mit keinem Wort erwähnt. Ist das Panikmache oder einfach nur Unwissenheit - Unlogisch das Ganze.

die amerikanische Regierung kann mich mal am A.... lecken - kreuzweise. Friedensnobelpreisträger Obama - da legst di nieder. Muss erstmal einen Whisky trinken und das am helllichsten Tag - der Sonntag kann nur besser werden.

Mir war klar, dass Dir meine Antwort nicht schmeckt, so war es aber nicht gemeint. Ich könnte Deine Meinung genauso vertreten. Beides ist wahr und beides zusammen ergibt die umfassendere Wahrheit. Und was noch an der ganzen Wahrheit fehlt, wissen wir beide nicht.

Ich finde es auch nervig, wenn Apple nicht antwortet aus eigener Erfahrung. Andererseits wenn man in einen Store geht und ein Hardware-Problem hat, finde ich Apple zum einen sehr freundlich und zum anderen sehr kulant. Festhalten kann man: Apple entscheidet, was es erzählt und wann. Da kann man Apple moralisch kommen, aber helfen tut es nicht. Sie waren ja kurz vorm Ende und diese Erfahrung hat sicherlich nicht dazu beigetragen, dass sie die Netten sein wollen, sondern dass sie jetzt ihre augenblickliche Situation zur Kompensation genießen und erleben möchten.

Ob jetzt Apples EFI ein Problem hat, kann wohl nur Apple oder ein fitter Programmierer in dem Bereich beurteilen. Und ob letzterer darüber überhaupt reden darf, weiß ich nicht.

er hat was in den falschen Hals bekommen und nicht verstanden. Das gibt er jetzt nicht zu.
Also lassen wir ihm seinem Glauben und legen uns wieder hin!

Von wegen …

Unified EFI (= UEFI):
Zur Werbung und Weiterentwicklung von EFI wurde 2005 das Unified EFI Forum gegründet. Daran sind außer Intel auch AMD, Microsoft, Hewlett-Packard und viele andere PC- und BIOS-Hersteller beteiligt, so dass die nun als Unified EFI (UEFI) bezeichnete Schnittstelle nicht mehr allein von Intel festgelegt wird.

Secure Boot:
Ein Bestandteil aktueller UEFI-Versionen ist Secure Boot, das das Booten auf vorher signierte Bootloader beschränkt und so Schadsoftware oder andere unerwünschte Programme am Starten hindert.

Secure Boot ist enthalten in Apples iOS-Betriebssystem für alle mobilen Geräte (iPhone, iPod), d.h. alle Bootkomponenten sind von Apple signiert:
- Bootloader, Kernel, Treiber, Firmware (Baseband)
- Nur Apple-signierte Komponenten werden geladen

nach einer halben Flasche Single Malt und 10 min. frischer Luft wollt ich noch mal sehn was so los ist - und dann das - wird hier immer noch lamentiert - au wie au wei - also ich muss jetzt ins Bettchen - draußen ist auch schon dunkel, es ist zum kotzen hohoho Hilfe.

Zum Kotzen wegen Alk oder Thema?

Es bestünde die Möglichkeit, diese Anfrage im geeigneten Apple Diskussionsforum einzustellen.

jetzt wär ich fast auf dem Klo eingeschlafen - Antwort: wegen Alk - der tag morgen wird grausam.

Dazu zitiere ich kurz mal Steve Wozniak:
"I think that Apple could be just as strong and good and be open, but how can you challenge it when a company is making that much money?"

Die Electronic Fronter Foundation (EFF) betitelt Apples iOS als "Cristal Prison", weil geschlossene Betriebssysteme sich als fehleranfälliger herausgestellt haben, als die offenen (Open Source) wie z.B. Linux sind:
"Microsoft, like Apple, is moving toward a dangerous future where users have less freedom to do what they want with their computers, where developers are restricted in what they can accomplish, and where competition and innovation is stifled."

Und EFF äussert dennoch die Hoffnung, mit einen Appell an Apple verbunden: "Apple understands the importance of open platforms: their devices wouldn't exist without them."

ich habe den Anschluß und die Lust verloren. Ich geh mal suchen.......

Gut, dann fasse ich mal zusammen, was ich bisher an Informationen rund um den aktuellen uEFI-Bug herausgebracht habe:

Vor vier Jahren beantwortete das Computer-Fachmagazin c't (Heft 21/2010) in seiner FAQ die Frage Was ist der Unterschied zwischen UEFI und EFI? so:
"Ursprünglich kam EFI bei Itanium-(IA-64-)Systemen zum Einsatz. Einige Intel-Xeon-Serverboards unterstützen EFI 1.1, hauptsächlich für Diagnose- und Wartungszwecke. Apple wiederum nutzt bei den Macs mit Intel-Prozessoren einen speziellen EFI-„Dialekt“, der weder EFI-1.1- noch UEFI-2.x-kompatibel ist."
T-online schrieb ein Jahr später (21.07.2011) zum BIOS-Nachfolger uEFI folgendes:
"Computer mit UEFI vermehrt im Handel
Seit diesem Frühjahr finden sich Computer mit UEFI in großer Stückzahl im Handel. Wer unlängst einen neuen PC gekauft hat, besitzt höchstwahrscheinlich UEFI. Bei den aktuellen Prozessorgenerationen von Intel und AMD setzen Mainboard-Hersteller wie MSI und Asus wegen der 64-Bit-Unterstützung vermehrt auf UEFI, Apple verwendet bereits seit Jahren eine abgespeckte EFI-Variante bei seinen Computern und Notebooks. Doch nicht jedes UEFI ist gleich: Mainboard-Hersteller entwickeln ihre eigene Software. So unterscheiden sich die UEFI-Varianten in Aussehen und Umfang."

Während also c't vor vier Jahren noch eine uEFI-Installation von Apple ganz ausschloss, beschränkt ein Jahr später T-online 2011 im Artikel Apples Verwendung einer "abgespeckten" Variante von EFI auf "Computer und Notebooks".

Apples mobile Geräte (Smartphones) werden also im Artikel vorsichtshalber nicht (mehr) mit einbezogen. (Schließlich will ich Apple ja nicht unterstellen, dass keine (EFI-)Weiterentwicklung stattgefunden hat …)
Tja, und genau hier befinde ich mich/wir uns bereits in der Grauzone, die Apple informationstechnisch um sein goldenes Kalb aufgebaut hat, was ja Job's alter Wegbegleiter, der eigentliche Computer-Techniker der beiden, Steve Wozniak in it-news (14.05.2012) nicht müde wurde und wird, zu bemängeln.

Hallo tix,

ich habe nicht recherchiert. Wenn ich in die Vergangenheit schaue, die ich mit Apple zusammen erlebt habe, dann reicht das bis 1987 zurück. Wenn ich da überlege, ob sich Apple einmal großen Bockmist geleistet hat, dann fällt mir da nichts zu ein. Mag sein, dass sich mein Gedächtnis mit dieser Frage noch etwas länger beschäftigen muss, bis was hochkommt, aber Dein Anspruch, von Apple jede gestellte Frage beantwortet zu bekommen, um die Gewissheit zu haben, ob da eine Leiche im Keller ist, ist Geheimdienstmentalität: lieber mehr wissen als zu wenig. Was ist besser: dass jedermann weiß, da ist eine Sicherheitslücke, so sie aktuell besteht, und Hacker mal schauen, ob sie die Hürde knacken, oder ob man das nicht an die große Glocke hängt und die Lücke erstmal beseitigt.

Wenn Du ein Sicherheitsunternehmen öffentlich fragst, ob bei dem Geldtransport eine Sicherheitslücke ist und sie sollen mal erzählen, ob sie die Lücke, die Du gerade im Kopf hast, haben, meinst Du, die kommen dann aus dem Erzählen garnicht mehr raus?

Das Sicherheitsunternehmen arbeitet wahrscheinlich lokal, Apple arbeitet global, da hängen also ein paar Hundert Millionen mehr Kunden dran. Und die Presse würde sicherlich, weil ja das öffentliche Interesse so riesig ist, gerne auch für die Verbreitung der Lücke sorgen. Was meinst Du, was passiert, wenn da ein Apple-Mitarbeiter Auskunft gibt? Mir fällt da schwer etwas ein, was das noch toppen könnte.

Hast Du Dich selbst genetisch auf Erbkrankheiten untersuchen lassen? Wenn ja, dann wäre Dein Anspruch an Apple konsequent, aber auch da hat Apple das Recht, für sich selbst eine Einstellung zu haben, die von Deiner abweicht, wenn sie gute Gründe dafür haben. Du hast mir Deinen genetischen Befund noch nicht mitgeteilt, weiß nicht, ob ich ohne überhaupt mit Dir kommunizieren sollte. Weil das widerspricht meinen Prinzipien.

Es scheint Dich wohl umzutreiben, dass der Fragesteller CERT (nicht ich!) Geld vom US-Verteidigungsministerium bekommt, das habe ich ja gepostet (s.o.).

Wusstest Du, das der Anonymisierer TOR Fördergelder von der US-Regierung bekommt? Aber den Auskunftsbegehrlichkeiten seitens der US-Armee (die TOR freilich auch benutzt) offenbar widersteht?
Wie Du siehst, so einfach ist das nicht, was das mit der "Sicherheit" angeht.

Bugs benennen, oder befragen, das hat es schon immer gegeben, siehe OpenSource-Community!

Wenn Du schon so lange Applesachen nutzt, dann gehe ich mal davon aus, Du hast bestimmt diverse von Apple angebotene Sicherheitsupdates (Software und Firmware) in Anspruch genommen, so what?!

Und unterstelle mir nicht, dass ich einen Anspruch darauf erhebe, von Apple gefälligst Antworten auf "jede gestellte Frage" bekommen zu wollen. Das ist nicht der Fall, siehe Überschrift dieses Threads.

Es geht um die Frage uEFI-Bug, ja oder nein. Das ist eine Frage, mehr nicht.

Oh, ich bekomme was ironisches zu lesen? Nur, die grosse Mode, Ironie um ihrer selbst zu betreiben, entlockt mir leider noch nicht einmal ein müdes Lächeln …

Ich kann Deine Argumentation ja gut verstehen. Bin im Prinzip Deiner Meinung. Aber wie auch schon mal erwähnt habe, ist das nur eine Teil-Wahrheit. Und ja, Du hast nur eine Frage, aber eben diese möchtest Du beantwortet wissen. Warum ist diese Frage für Apple weniger schlimm? Weil Du sie stellst, weil sich die Community damit traditionell beschäftigt? Apple gibt zum Thema Sicherheit traditionell keine Einblicke. Bei der Community erlebt man den "internen" Prozess der Optimierung offen mit, Apple ist im Wettbewerb mit der Konkurrenz und hat kein gesteigertes Interesse andere am eigenen Wissen und Können teilhaben zu lassen. Das ist ihr Vermögen im doppelten Sinne (Knoffhoff und Besitz).

Danke für Deine Recherche.

Es tut mir ja auch leid, Dir da so ziemlich zu widersprechen. Finde aber, dass meine Argumente nicht schlecht sind. Insofern musstest Du Dich mit Ihnen auseinandersetzen, was Du ja auch getan hast.

Nein, ich inszeniere mich hier nicht um meinetwillen selbst. Sondern habe nur mal die Seiten gewechselt. Dir ging dies Verhalten von Apple auf den Sack, ich habe versucht, Apples Haltung dazu rüberzubringen.

Es ist der Konflikt zweier Kulturen: die offene Community gegen wirtschaftliche Interessen. Hat in Deinen Augen Apple kein Recht?

Apples Smartphones sollen ein (u)EFI haben?

Ich denke es ist wie alles was Sicherheit und Apple angeht überzogen.
Viele von diesen gefundenen Bugs kommen erst zum Vorschein wenn man die Software verändert.
Beispiel. Wenn ich die von Apple vorgegebene EFI Software durch einen andere austausche dann kann ich den Bug ausnutzen..... Dann ist das kein Sicherheitsproblem der Hardware sondern dummheit des Nutzers.
Die Sicherheitsproblem die z.B. beim iPhone auftauchten waren immer im Zusammenhang mit einem Jailbreak.
Also ist hier entscheidend wie sich der Bug ausnutzen lässt, was man tun muss um ihn nutzen zu können.
Wer also ein Hardwareupdate für seinen Mac auf irgendeiner Seite runterlädt der hat selber schuld.

Ausserdem steht ja na "not affected" was nicht betroffen bedeutet.

Ja, richtig, der Eintrag "not affected" wurde wohl am 28.10.2014 eingegeben, also vorgestern.
Hab da gar nicht mehr nachgeguckt, danke.

Damit hat sich das Thema um ein Firmware-Update – ja/nein – erledigt.

Außerdem meiner Frau seinOnkel seine Frau heisst EFI!

Hallo,

wen es interessiert, z.Z. läuft ein Live-Stream vom 31C3-Kongress (CCC) in Hamburg zu "EFI-Boot Kits":

EFI-Boot Kits oder EFI-Root Kits?

und für die, dies verpasst haben: gibts ne zusammenfassung oder aufzeichnung?

um die frage selbst zu beantworten:
http://www.golem.de/news/thunderstrike-exploit-magic-lantern-entwickler-zeigt-unsichtbares-mac-rootkit-1412-111382.html

http://www.heise.de/newsticker/meldung/31C3-Thunderstrike-greift-MacBooks-ueber-Thunderbolt-an-2506839.html

https://trmm.net/thunderstrike
Mal schauen...

Warum sollten sie?

Antwortet Apple auf überhaupt irgendetwas?

Alle Apple-Gesund-Beter liegen wohl falsch. Apple hat's verkackt und tut nix.

Thunderstrike nutzt ganz andere Methoden, als die im Thread zuerst angesprochenen evtl. auch vorhandnen Privilege Eskalationen.

Das hat doch mit dem hier gezeigten Fehler gar nichts zu tun.

Das stimmt.
Sorry, ich hab den obigen Hinweis auf den gestrigen (Lifestream-)Vortrag auf die Schnelle hier reingepostet.

Daher hab ich jetzt zum Thema einen eigenen Thread eröffnet: