Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitsexpertin: Updates von iOS und OS X liegen zu weit auseinander

Die Sicherheitsexpertin und ehemalige Apple-Angestellte Kristin Paget hat Apple für die ihrer Meinung nach laxe Einstellung zum Thema Sicherheit kritisiert. Der iPhone-Hersteller bereite mit den zum Teil großen Abständen zwischen Sicherheitsaktualisierungen für iOS und OS X zuviel Spielraum für potentielle Angreifer. Paget wörtlich: „Apple predigt die Tugend, den gleichen Kernel für zwei Plattformen (iOS + Mac) zu verwenden – sie patchen aber nur jeweils ein System und lassen das andere über Wochen ungeschützt.“ Dieses Vorgehen verleite Hacker dazu, die bereits bekannten Sicherheitslücken auf der noch nicht aktualisierten Plattform auszunutzen, so die jetzige Tesla Motors-Mitarbeiterin.

Die letzte Updateverzögerung von Apple, die Schlagzeilen machte, geschah im Zusammenhang mit dem sogenannten SSL-Bug im Februar (nicht zu verwechseln mit der Sicherheitslücke bei OpenSSL, genannt Heartbleed). Während Apple für iOS umgehend ein Update veröffentlichte (7.0.6), mussten Mac-User eine halbe Woche warten, bis der gefährliche Bug mit OS X 10.9.2 geschlossen wurde.

Weiterführende Links:

Kommentare

foodtek24.04.14 11:15
Na ja, teilweise mag Sie Recht haben, aber im Vergleich zu Windoof lieber einmal pro Jahr eine halbe Woche auf ein update warten, als jeden Monat ein update wirklich zu benötigen
Und ausserdem lieber eine halbe Woche auf ein Update warten als Gefahr zu laufen aus einem brennenden Tesla Wagen zu steigen zu müssen....der 120 TSD EUR kostet
0
nowMAC24.04.14 11:36
Wenn es (anscheint) einfacher ist für iOS ein Update bereit zu stellen und es für OS X länger dauert, ist die gute Frau dann jetzt der Meinung, dass Apple das iOS Update zurück halten soll oder sollen sie zaubern, damit das OS X Update gleichzeitig fertig ist?

Wenn Apple selbst eine Lücke entdeckt dann sollten sie, damit sie nicht vorher bekannt wird, mit dem freigeben der Updates warten bis beide fertig sind aber bei schon bereits bekannten wie diesem doch beide einzeln so schnell wie möglich.
Ne Ne, seit Steve Jobs nicht mehr da ist....
0
diddom
diddom24.04.14 11:47
Äh, wieso sollte es "einfacher" sein für iOS ein Update zu liefern?
Wie im Artikel beschrieben, rühmt sich Apple, den gleichen Kernel für iOS und OSX zu verwenden und das dies enorme Vorteile böte.
Dies sollte sich dann auch in einer Gleichbehandlung beider Systeme gerade im wichtigen Bereich Sicherheitsupdates wiederspiegeln.
Was nämlich als Vorteil angepriesen wird, ist ja auch sofort ein Nachteil. Wird nämlich durch ein Patch von iOS bekannt, dass es eine Sicherheitslücke gibt, so ist das wie mit dem Finger draufzeigen, dass diese Lücke mit hoher Wahrscheinlichkeit auch so bei OSX existiert.
Natürlich ist das ein Problem und wirft die Frage auf, ob es dann sinnvoll ist, das Patch für eine der beiden Plattformen früher anzubieten.
Das Ziel sollte sein, für beide Plattformen gleichzeitig ein Patch anzubieten und das eben besser nicht durch Verzögerung des einen, sondern eher durch Beschleunigung des anderen. Man muss also in beide Plattformen gleichviel Manpower stecken, was ja zudem laut eigener Aussagen Apples viel einfacher sein soll, weil ja die gleiche Grundarchitektur benutzt wird.
Ich vermute, dass hier jemand aufgrund Insiderwissens indirekt bestätigt, was man ja auch schon länger vermutet, dass Apple mittlerweile tendenziell iOS etwas mehr Aufmerksamkeit schenkt als MacOS. Das ist aufgrund der Umsätze, die mit dem iphone erzielt werden, verständlich, aber natürlich nicht wünschenswert.
0
Hannes Gnad
Hannes Gnad24.04.14 11:53
Es wäre gut, wenn inhaltsgleiche Patches für beide Systeme zeitgleich erscheinen würden.
0
MikeMuc24.04.14 12:03
Naja, prinzipiell wäre es natürlich schon wenn beide Patches gleichzeitig und am Besten schon vorgestern erscheinen. Nur werden wohl unter anderem die Tests bei OS X wesentlich umfangreicher sein (alleine schon X7, X 8, X 9), dann auf vielen Rechnermodellen etc.
Bei IOS gibts ja für gewöhnlich nur für das aktuelle IOS einen Patch.
0
deus-ex
deus-ex24.04.14 13:05
Das alles ist Gejammer auf hohem Niveau wenn man es mit anderen Plattformen vergleicht
0
diddom
diddom24.04.14 13:39
Naja, nach unten zeigen ist nicht unbedingt ein Motor für Fortschritt und Apples eigener Anspruch ist sicherlich auch nicht so.
Imho ist gerade das Thema Sicherheit eins der Themen, mit denen Apple wirklich im Vergleich zu anderen punkten kann. Viel mehr als bei vielen Dingen, die üblicherweise im Zusammenhang mit Apple genannt werden und worüber man sich durchaus streiten kann, ob dem wirklich so ist.
Und genau deshalb ist es wünschenswert, wenn sich Apple nicht an den Mängeln von Android oder der tagtäglichen Bombardierung mit Trojanern und Virusattaken unter Windows und dem üblichen Hinterherrennen mit Sicherheitsupdates orientiert.
Apple ist darin ja auch schon ganz gut und ich persönlich halte es für produktiver, wenn jemand wie diese Person hier, die Einblick in die Materie hat konstruktive Kritik äussert, bevor etwas ernsthaftes geschieht und eben diesen recht makellosen Ruf Apples beschädigt, als wenn jemand verlauten lässt, die anderen sind viel schlechter.
Wie gesagt, kein Motor für Entwicklung.
Welcher Musiker würde noch an seinem Instrument üben, wenn er sich nur daran orientierte, dass es Leute gibt, die schlechter als sie selbst spielen. Wer sich dort weiterentwickeln will, orientiert sich entweder an denen, die besser sind und nimmt sie als Vorbild, oder steckt sich Ziele, die er noch nicht erreicht hat. Alles andere führt mindestens in Stagnation...
0
X-Jo24.04.14 17:34
foodtek
[…] als Gefahr zu laufen aus einem brennenden Tesla Wagen zu steigen zu müssen....der 120 TSD EUR kostet […]
Dann doch lieber aus einem brennenden Porsche 911 GT3 für 140.000 € aussteigen …

Ausser diesen beiden Autos haben bekanntlich noch keinerlei Fahrzeuge gebrannt.
0
mbh
mbh24.04.14 19:39
foodtek
Na ja, teilweise mag Sie Recht haben, aber im Vergleich zu Windoof lieber einmal pro Jahr eine halbe Woche auf ein update warten, als jeden Monat ein update wirklich zu benötigen
Und ausserdem lieber eine halbe Woche auf ein Update warten als Gefahr zu laufen aus einem brennenden Tesla Wagen zu steigen zu müssen....der 120 TSD EUR kostet [sic! (mbh)]
So viel Unsinn mit so wenigen Worten.
0
neo70
neo7024.04.14 21:27
Welche Aussage erwartet man von ehemaligen Mitarbeiterin von Apple?
0
sierkb24.04.14 22:58
neo70
Welche Aussage erwartet man von ehemaligen Mitarbeiterin von Apple?

Z.B. diese:
Kristin Paget
[..]
FIX. YOUR. SHIT.
Soon.
Please?
Love and hugs as always,
Me <3
Quelle: Kristin Paget's Blog (23.02.2014): Dear Apple, FIX YOUR SHIT. Much love, Me <3
Kristin Paget
I wanted to make a few clarifications about goto fail now that the patch has dropped, the dust has settled, and I’ve had a little time to chillax.

I want to start out by being crystal clear about one thing – I like Apple’s products. Both my wife and I like and use iThings and Macbooks; I like and use TouchID, and OS X is my primary OS both at home and at work. I’m a fan of Apple. That’s why this whole goto fail debacle made me so mad – Apple started with this beautiful, elegant, *wonderful* machine, and then screwed it up by giving all of my passwords to anyone with the balls to attempt any of the 15-year-old vulnerabilities in Ethernet and TCP/IP that we fixed with SSL.
[..]
You do realize that’s what goto fail did, right? You know how we laugh at people that use telnet to remote admin their machines? Goto fail broke the “secure” in “secure sockets layer” and reduced it effectively to plaintext, and then did the same thing for a whole bunch of other protocols. Ethernet is horribly insecure, TCP/IP has a whole world of native vulnerabilities, and things like wifi and bluetooth don’t exactly make things better – and we fix *all* of this with SSL. No matter what kind of network you were on, your “secured” connections could be peeked inside of, just for the asking. Thanks, Apple, for telling the entire freaking planet that they could do this. For four days.

Please, Apple, learn a lesson – *never* drop a critical patch for only one platform when it affects both platforms. Both together or not at all; it’s better to withhold the patch a few days longer than to tell the world there’s a bug you could drive a tank through.
[..]
So yeah, I’m back to being a happy iThing user again, at least until the next time I find a reason to go yelling at Apple about something.

Okay, Internets – it’s all safe to come out again now. Big hugs <3
[..]
Quelle: Kristin Paget's Blog (27.02.2014): Afterthoughts




Deine Äußerung betreffend: Dunning-Kruger-Effekt? Bei Dir?
0
Apfelbutz
Apfelbutz25.04.14 07:21
Diese Aussage ist nur richtig wenn der Bug noch nicht bekannt ist.
Wenn er bekannt ist so ist es wohl besser so schnell wie möglich zu fixen auch wenn der Patch erst für ein System verfügbar ist.
Kriegsmüde – das ist das dümmste von allen Worten, die die Zeit hat. Kriegsmüde sein, das heißt müde sein des Mordes, müde des Raubes, müde der Lüge, müde d ...
0
sierkb25.04.14 09:28
Apfelbutz:

Das sehen offenbar so Einige, die es tatsächlich besser wissen als Du (und davon hat sich jetzt eine wiederholt geäußert) grundlegend anders als Du:
Kristin Paget via heise
[..]
Die aufgeführten Webkit-Schwachstellen in OS X und iOS, die das Ausführen von Schadcode beim Aufruf einer manipulierten Webseite erlauben könnten, seien weitestgehend identisch. Sie waren beim Hacker-Wettbewerb Pwn2Own bereits erfolgreich gegen Mac OS X zum Einsatz gekommen.

Jemand sollte Apple einbläuen, nicht eines der hauseigenen Betriebssysteme dafür zu nutzen, einen Zero-Day-Exploit auf das andere loszulassen, schimpft Paget – und spielt darauf an, dass Apple bei dem "goto fail"-Bug genau andersherum gehandelt hat. Dort erhielt zuerst iOS ein Update, in Mac OS X wurde die schwerwiegende SSL-Sicherheitslücke erst mit mehrtägiger Verzögerung geschlossen.
[..]

Quelle:
0
dom_beta25.04.14 19:19
foodtek
Na ja, teilweise mag Sie Recht haben, aber im Vergleich zu Windoof lieber einmal pro Jahr eine halbe Woche auf ein update warten, als jeden Monat ein update wirklich zu benötigen

am besten sofort veröffentlichen
...
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.