Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Google deckt Sicherheitslücke in OS X 10.9.5 auf

Wie Sicherheitsexperten von Google melden, befindet sich in der letzten Version von OS X 10.9 Mavericks eine Sicherheitslücke, mit der Angreifer aus einer Sandbox, wie sie bei Webseiten in Safari zum Einsatz kommt, ausbrechen können. Möglich ist dies durch einen Fehler in der XPC-Schnittstelle von networkd. Eigentlich dient XPC zur Kommunikation zwischen unterschiedlichen Prozessen und ist auch in der OS-X-Sandbox verfügbar. Im vorliegenden Fall kann XPC dazu verwendet werden, schädliche Programmanweisungen in dem networkd-Prozess einzuschleusen. Schuld ist letztendlich die unzureichende Prüfung des Datentyps in networkd.

Ganz sicher betroffen ist Google zufolge OS X 10.9.5, sehr wahrscheinlich aber auch frühere Versionen. Apple wurde bereits vor 90 Tagen über die Lücke informiert, hat aber bislang keine entsprechende Sicherheitsaktualisierung veröffentlicht. In OS X Yosemite ist das Problem offenbar behoben, was Apple gegenüber Google aber nicht bestätigen wollte. Mangels Reaktion hat Google die Sicherheitslücke nach Ablauf der dreimonatigen Frist nun öffentlich gemacht.

Weiterführende Links:

Kommentare

Christoph_M
Christoph_M21.01.15 13:45
richtig so. unglaublich unprofessionell von Apple.
0
MetallSnake
MetallSnake21.01.15 14:10
Christoph_M
richtig so. unglaublich unprofessionell von Apple.

Immerhin hat Apple sich nicht über die Vorgehensweise (mehrfach) beschwert so wie es Microsoft gemacht hat.
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
dom_beta21.01.15 14:16
Meine ich das nur oder nimmt das mit den Lücken überhand?

Da war doch mal was, Apple fix your shit, SSL-Lücke.
...
0
stefan21.01.15 14:17
Und wie konsequent, bzw. "professionell" ist Google bei eigenen Sicherheitslücken?
Müsste man sich da nicht vielleicht auch an die eigene Nase fassen?

Nein, ich möchte die entdeckte Lücke nicht "schönreden", aber die Vorgehensweise lässt ein paar Fragen offen.
0
Hannes Gnad
Hannes Gnad21.01.15 14:19
Ja, das Sicherheitsthema. Hier soll, darf, kann, muß Apple in jeglicher Hinsicht mehr machen: Kommunikativer, schneller, besser, direkter usw.
0
MacRudi21.01.15 14:34
Kann denn Google Chrome inzwischen schon Passwörter mit Umlauten? Als ich das gesehen habe, obwohl es in Webkit ja geht, habe ich mich auch gefragt, was sie da treiben.
0
subjore21.01.15 14:35
Baja, bei der aktuellen Version hat Apple die Lücke ja schnell geschlossen. Die alten Versionen bekommen halt seltener Fixe. Bestimmt ist das beim nächsten Update für Mavericks dabei.
0
breaker
breaker21.01.15 14:37
MacRudi
Kann denn Google Chrome inzwischen schon Passwörter mit Umlauten? Als ich das gesehen habe, obwohl es in Webkit ja geht, habe ich mich auch gefragt, was sie da treiben.

Chrome ist schon lange nicht mehr Webkit.
0
dom_beta21.01.15 14:38
breaker
Chrome ist schon lange nicht mehr Webkit.

Richtig, es verwendet Blink als Engine.

PS: Letztens gab es ein Update für Chrome.
...
0
MacRudi21.01.15 15:02
breaker
Chrome ist schon lange nicht mehr Webkit.
Das ist mir nicht neu, es ist nur erstaunlich, dass sie Zugriff auf Webkit hatten und trotzdem diese Funktionalität nicht drin haben/hatten, weil das jeder mir bekannte Browser kann. Und den Zeichenvorrat vergrößern, ist auch der Sicherheit förderlich.
0
dom_beta21.01.15 15:15
Wann war denn dieser Bug?
...
0
o.wunder
o.wunder21.01.15 15:35
90 Tage....
Oh weh

Aber ist ja nicht Yosemite...
Was interessiert mich mein OS von gestern?
0
chessboard
chessboard21.01.15 15:36
MacRudi
Kann denn Google Chrome inzwischen schon Passwörter mit Umlauten? Als ich das gesehen habe, obwohl es in Webkit ja geht, habe ich mich auch gefragt, was sie da treiben.
Ähm, Webkit ist soweit ich weiß eine Renderengine. Warum sollten damit Passwörter verarbeitet werden?
0
Dirk J21.01.15 15:47
Die haben sich zurecht beschwert. Dieser drecksladen Google bringt alle in Gefahr mit seinem scheiß Egotrip. MS hatte sich letztes mal beschwert weil sie einen Patch hatten bei MS aber Donnerstag Patch Tag ist und der drecksladen Google nicht 2 Tage mit der Veröffentlichung warten wollte.

In meinen Augen ist so ein Vorgehen unverantwortlich. Die sollten mal vor ihrer eigenen Haustür kehren. Z.B. in ihrem Android Viren und Trojaner Store.
MetallSnake
Christoph_M
richtig so. unglaublich unprofessionell von Apple.

Immerhin hat Apple sich nicht über die Vorgehensweise (mehrfach) beschwert so wie es Microsoft gemacht hat.
0
Dirk J21.01.15 15:49
Na dann warte mal ab. Google ist noch nicht fertig mit dem Thema.
o.wunder
90 Tage....
Oh weh

Aber ist ja nicht Yosemite...
Was interessiert mich mein OS von gestern?
0
MacRudi21.01.15 16:03
dom_beta
Wann war denn dieser Bug?
Als Google sich von Webkit verabschiedete.
0
MacRudi21.01.15 16:06
chessboard
Ähm, Webkit ist soweit ich weiß eine Renderengine. Warum sollten damit Passwörter verarbeitet werden?
Weil eine Rendering-Engine Zeichensätze kennen könnte, so wie die Passwortfunktio- nalität. Und wie sehr das voneinander getrennt ist, vermag ich nicht einzuschätzen.
0
dom_beta21.01.15 16:11
Dirk J
Die haben sich zurecht beschwert. Dieser drecksladen Google bringt alle in Gefahr mit seinem scheiß Egotrip.

Nee! Offensichtlich muss der Druck auf Firmen wie Apple und Microsoft deutlich erhöht werden!

Es gab ja auch öfter Beschwerden übers Apple Patch-Politik.
...
0
MacRudi21.01.15 16:16
Umlaute gehen noch immer nicht. Mac OS X 10.7.5 und Google Chrome 39. Der Fokus von Google scheint auf ASCII zu liegen.
0
Grolox21.01.15 16:20
Wen wundert es das gerade Google im Applesystem
eine Lücke findet , wo doch Android geradezu die
Mutter aller Systemlücken ist.
0
Dirk J21.01.15 16:45
Grolox
Wen wundert es das gerade Google im Applesystem
eine Lücke findet , wo doch Android geradezu die
Mutter aller Systemlücken ist.

Android ist die Lücke schlechthin
0
g-kar21.01.15 16:46
MacRudi
Kann denn Google Chrome inzwischen schon Passwörter mit Umlauten? Als ich das gesehen habe, obwohl es in Webkit ja geht, habe ich mich auch gefragt, was sie da treiben.

Eine sehr unpräzise Frage. Falls Du damit meinen solltest, dass bei HTTP Basic Authentication nicht jede Webapplikation Passwörter mit Umlauten und anderen Non-ASCII-Zeichen akzeptiert (bei Verwendung von Chrome), hast Du bedingt Recht. Chrome „kann“ durchaus Umlaute und sendet sie auch in Benutzernamen und Passwörtern bei HTTP-AUTH – allerdings codiert Chrome den gesamten Authorization-String in UTF-8 statt (wie alle anderen Browser) in ISO-8859-1. Die von mir gewartete Webapp kann damit umgehen, so dass man sich hier auch mit Goolge Chrome anmelden kann, wenn Umlaute im Passwort vorkommen.
0
MacRudi21.01.15 17:02
g-kar
...
Also zunächst mal verhält sich Google Chrome anders als die anderen Browser. Darin stimmen wir überein. Somit kommen wir zur Frage, was unterschiedlich ist.

Liefert der Webserver eine Info über den Default-Zeichensatz, der dann auch für die Basic Authentication verwendet wird, und Chrome ignoriert diese Angabe?

Ja, wenn man weiß, was Chrome macht, kann man es gegebenenfalls kompensieren.
0
hab_auch_nen_apfel21.01.15 17:04
Gratulation! Eigentlich geht es ja um eine Lücke bei Apple. Aber Ihr habt es wieder wunderbar geschafft mit dem Finger auf Andere zu zeigen. Einfach nur Schwachsinn!!!
0
MacRudi21.01.15 17:31
hab_auch_nen_apfel
Gratulation! … Schwachsinn!!!
Du hast recht, dass Apple sich bei Google für das Entdecken der Lücke bedanken sollte. Eigentlich. Da sie sich aber im Wettbewerb bis thermonuklearen Krieg befinden (seit Tim Cook ja vielleicht nicht mehr), fällt das gerade flach.

Ob es ok ist, Sicherheitslücken in der Öffentlichkeit zu diskutieren, dürfte strittig sein, Apple macht es jedenfalls eher nicht.
0
hab_auch_nen_apfel21.01.15 18:04
MacRudi
Soweit ich das verstehe, gibt es so eine Art "Ehren-Codex", nach dem ein Entdecker von Sicherheitslücken dem Betroffenen Zeit gibt, zu patchen oder zumindest Stellung zu nehmen. Und hier ist bei weitem nicht nur Google aktiv, sondern auch Leute, die als eher neutral gelten. Apple äußert sich teilweise aber gar nicht oder ignoriert einfach gefährliche Fehler! Und das müsste hier doch diskutiert werden und nicht ob es Google zusteht am Saubermann-Image von Apple zu kratzen!
0
MacRudi21.01.15 18:14
hab_auch_nen_apfel
… ob es Google zusteht, am Saubermann-Image von Apple zu kratzen!
In der Sache mit der Lücke bin ich nicht anderer Meinung. Deshalb ist mein Beitrag nicht so gemeint gewesen, dass Google kein Recht hat, diese Lücke zu veröffentlichen. Diese Lücke sehe ich als ein ziemliches Insiderdetail, wohingegen mein genanntes Problem relativ elementar ist. Und da frage ich mich, wie das zusammengeht.
0
hab_auch_nen_apfel21.01.15 19:34
MacRudi
Leider hat man bei Apple manchmal den Eindruck, dass die manche Lücken oder Gefahren schlicht weg verschlafen. Natürlich ist es problematisch, Cyberkriminelle auf Lücken hinzuweisen. Allerdings kann man auch nicht warten, bis der Betroffene irgendwann die Lücken schließt, denn wenn Google die finden kann, wie lange brauchen dann einschlägige Netzwerke? Ich denke 90 Tage sind lange genug, zumindest für eine Stellungnahme oder Kundeninfo. Und was Google angeht: natürlich ist das ein "Wie Du mir, so ich Dir!"-Spielchen! Apple hat nun den schwarzen Peter, darf man das heute noch sagen?, und muss reagieren.
0
MacRudi21.01.15 20:18
hab_auch_nen_apfel
... Lücken oder Gefahren schlicht weg verschlafen ...
Ich kann es nicht beurteilen, wieviel an der Stelle dranhängt an Abhängigkeiten. Mir kommt gerade der Vergleich mit einem Auto: es wird gekauft, obwohl man damit ums Leben kommen kann. Hinkt der Vergleich? Rennt man als Software-Hersteller immer den Hackern zeitlich hinterher oder gibt es DIE SICHERE SOFTWARE? Für kleinere Programme ja, für größere, ich weiß es nicht? Zumindest könnte man von Apples Seite mehr tun, ohne Frage. Bin mal gespannt, wann Apple begreift, dass die Software wichtiger ist, als es Apple momentan sieht. Im Augenblick kostet man den Siegeszug der Hardware aus.
0
mayo8121.01.15 23:04
MetallSnake
Immerhin hat Apple sich nicht über die Vorgehensweise (mehrfach) beschwert so wie es Microsoft gemacht hat.

Soll man das Verhalten von Apple jetzt bejubeln?! Bei MS war es so, dass ein Patch, einen Tag nach der Veröffentlichung ausgeliefert hat. MS hat darum gebeten, zur Sicherheit seiner Nutzer, diesen Patchday abzuwarten. Im zweiten Fall, gab es erhebliche Kompatibilitätsprobleme, weshalb ein Patch nicht rechtzeitig fertig wurde und auch in diesem Fall hat MS Google, im Sinne der Anwender, von einer Veröffentlichung abzuhalten versucht. Es ist ja nicht so, als ob Google bereits bekannte Sicherheitslücken herausposaunt. Eine Ausnutzung ohne Bekanntwerden der Lücke, darf man als sehr gering einschätzen. Apple hält keinerlei Reaktionen für notwendig und das macht es in meinen Augen eben noch schlimmer. Google darf man aber auch sehr kritisch sehen. Massenhaft lassen sie Android-Anwender, mit offenen Sicherheitslücken im Regen stehen, ohne auch nur die geringste Aussicht auf einen Patch. So ganz kann ich also die Argumentation nicht nachvollziehen, man handle im Sinne der Kunden und wolle mehr Druck auf die Hersteller ausüben, Sicherheitslücken schneller zu beheben. Das MS durchaus sauer war, kann ich sehr gut verstehen.
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.