Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Entwickler legt Exploit in macOS Ventura offen: Apple liefert seit Monaten keinen Fix

Moderne Betriebssysteme zeichnen sich nicht nur durch eine Vielzahl an Features und ein eine optisch ansprechende Benutzeroberfläche aus. Trotz umsichtiger Arbeit der Entwickler finden sich viele Sicherheitslücken, welche oftmals von Sicherheitsforschern und Hackern ausfindig gemacht werden. In solchen Fällen winken die Belohnungen eines Bug-Bounty-Programms: Wer auf einen Exploit aufmerksam macht, erhält zumeist eine Belohnung. Das scheint aber vor allem bei Apple nicht immer reibungslos zu funktionieren: Soeben machte der bekannte Entwickler Jeff Johnson eine Sicherheitslücke in macOS Ventura öffentlich, nachdem Cupertino nicht reagiert hatte.


Apple kennt Sicherheitslücke seit zehn Monaten
Wer die Systemeinstellungen unter macOS 13 aufruft, findet unter dem Punkt „Datenschutz & Sicherheit“ die sogenannte „App-Verwaltung“. Wird eine Anwendung von einer anderen aktualisiert oder gelöscht, so leitet das System den Nutzer in die Einstellungen weiter, wo er diesem Eingriff gegebenenfalls zustimmen muss. Johnson identifizierte im Oktober 2022 ein schwerwiegendes Problem, auf das im Rahmen eines Beitrags hinwies: Er entdeckte eine Möglichkeit, die App-Verwaltung zu umgehen, ohne vollständigen Zugriff auf die Festplatte zu benötigen. Wie Johnson nun mitteilt, habe er Apple den Fehler am 19. Oktober des Vorjahres gemeldet. Der Konzern bestätigte den Erhalt des Berichts am 21. Oktober 2022. Getan hat sich seitdem jedoch nichts.

Apple ohne Reaktion: Johnson zeigt sich frustriert
Johnson legt nun Details zu dem Exploit offen, weil er „jegliches Vertrauen in Apple verloren habe, das Problem rechtzeitig zu beheben“. Zehn Monate nach der Meldung der Sicherheitslücke liegt immer noch kein Fix vor. Johnson findet übrigens bei den Sicherheitshinweisen zum Update auf macOS 13.4 Erwähnung: Sein Bericht sei bei der Behebung eines weiteres Exploits hilfreich gewesen. Eine Prämie habe er jedoch nicht erhalten, so Johnson. Ihm sei klar, dass Cupertino eine solche wohl nicht zahlen werde: Apple habe sich sein Schweigen für die vage Möglichkeit einer Zahlung erkauft. Dementsprechend hart fällt Johnsons Fazit aus: Er bereue seine Teilnahme am „Apple Security Bounty“-Programm, es handle sich um eine frustrierende Zeitverschwendung.
Vor 30 Jahren: Apples Copland-Projekt startet – und reißt das Unternehmen fast in den Untergang
Vor 30 Jahren: Apples Copland-Projekt startet –...
iPhone 16 Pro: Angebliche Farbpalette bekannt geworden, zwei neue Optionen
iPhone 16 Pro: Angebliche Farbpalette bekannt g...
Safari: iOS 18 enthält angeblich den "Browsing Assistant" +++ massive Performance-Verbesserungen in WebKit
Safari: iOS 18 enthält angeblich den "Browsing ...
Weitere Apple-Prozessoren geplant: Entwicklung von Serverchips
Weitere Apple-Prozessoren geplant: Entwicklung ...
Wie lange wird Intel noch unterstützt?
Wie lange wird Intel noch unterstützt?
iPhone 16: Angeblich alle Akkugrößen durchgesickert
iPhone 16: Angeblich alle Akkugrößen durchgesic...
NonUI, LLDiag, InternalUI – Die geheimen Versionen des iPhone-Betriebssystems
NonUI, LLDiag, InternalUI – Die geheimen Versio...
Updates erschienen: iOS 17.4.1 und weitere verfügbar
Updates erschienen: iOS 17.4.1 und weitere verf...

Kommentare

Rosember21.08.23 11:46
Johnson identifizierte im Oktober 2024 ...
Gemeint dürfte 2022 sein, oder?
+2
Kelle21.08.23 11:52
Stimmt, danke!
+1
TheGeneralist
TheGeneralist21.08.23 13:29
Traurig, sehr traurig.

Habe den Eindruck, in dieser Art und Weise wird leider seitens Apple oftmals mit Feedback umgegangen - sehr oft sind auch funktionale Bugs weithin bekannt und werden über die offiziellen Kanäle gemeldet, es wird aber nicht in angemessener Zeit darauf reagiert.

Finde es weit wichtiger als jedes neue Feature, dass solche Dinge gut funktionierten. Perfekt ist das natürlich nie möglich, aber deutlich besser als aktuell sollte schon der Mindestanspruch sein. Wenn es dafür dann deutlich weniger neue Features gibt - meinerseits sehr gerne, das wäre eine sehr sinnvolle Priorisierung.
+19
marode21.08.23 15:20
Mit Ethik und Moral wird man nicht das finanziell erfolgreichste Unternehmen der letzten Jahre. 🍏 ist in vielen Bereichen ziemlich verlogen, unethisch und unmoralisch. Damit müssen wir wohl leben. Ist ja bei anderen Konzernen nicht anders...
+11
heubergen21.08.23 21:27
Mal warten was die andere Seite zu sagen hat, vielleicht ist sein "Exploit" einfach unrealistisch oder unmöglich und wird deswegen nicht so schnell behoben.
-10
misc21.08.23 21:32
heubergen
Mal warten was die andere Seite zu sagen hat, vielleicht ist sein "Exploit" einfach unrealistisch oder unmöglich und wird deswegen nicht so schnell behoben.

Apple's Feature sollte Apps vor Modifikationen schützen. Da das Feature aber offensichtlich nicht getestet wurde, ist Apple nicht aufgefallen, daß eine Sandboxed App wie TextEdit trotzdem Dateien der zu schützenden App modifizieren kann. Einem anderen Entwickler sind vier weitere Methoden aufgefallen, den "Schutz" zu umgehen. Es wird also nicht viel Feedback seitens Apple kommen.
+5
misc21.08.23 21:35
marode
Mit Ethik und Moral wird man nicht das finanziell erfolgreichste Unternehmen der letzten Jahre. 🍏 ist in vielen Bereichen ziemlich verlogen, unethisch und unmoralisch. Damit müssen wir wohl leben. Ist ja bei anderen Konzernen nicht anders...

Das wäre mir ehrlich gesagt völlig egal, wenn Apple mal seine Arbeit so machen würde wie das Marketing. Das hier ist ja jetzt nicht das erste Problem, das Zweifel an Apples Entwicklungsprozess aufwirft.
+3
Achtlos weggeworfener Vogel21.08.23 22:24
Eigentlich sollten alle Entdecker solcher Schwachstellen konzertiert Apple eine Frist von nicht mehr als vier Wochen setzen und danach die Schwachstellen öffentlich machen. Von Cook und Co. eine Belohnung zu erwarten ist unsinnig. In Cupertino sind sie mit anderen Dingen beschäftigt. Irgendwas mit amazing. Apple versteht nur eine Sprache: Druck.
+5
TotalRecall
TotalRecall28.08.23 15:41
... und Apple ist auf "Best... ever", "Fastest... ever", "X faster..." aus
Achtlos weggeworfener Vogel
Eigentlich sollten alle Entdecker solcher Schwachstellen konzertiert Apple eine Frist von nicht mehr als vier Wochen setzen und danach die Schwachstellen öffentlich machen. Von Cook und Co. eine Belohnung zu erwarten ist unsinnig. In Cupertino sind sie mit anderen Dingen beschäftigt. Irgendwas mit amazing. Apple versteht nur eine Sprache: Druck.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.