Ich denke, dieser Spitzenplatz hat mehrere Hintergründe: Erstens ist Mac OS X noch relativ jung, erst ca. zehn Jahre. Windows NT, der Urvater von Vista und Win7, ist schon 17 Jahre alt. Zweitens gerät Mac OS X durch seine wachsende Verbreitung immer mehr ins Blickfeld der Sicherheitsforscher, die es Stück für Stück abklopfen. Windows hat diesen Prozeß schon vor einigen Jahren durchlaufen, ungefähr zu Zeiten von Windows 2000 und WinXP. Drittens investiert Apple in den Bereich Sicherheit noch nicht genug Ressourcen, hat aber immerhin schon wieder etliche entsprechende Stellen ausgeschrieben. Und viertens ist Mac OS X ja eine Mischung aus Open Source und Closed Source. Das könnte in Hinblick auf Sicherheit das "worst of both worlds" sein, denn z.B. Linux hat die OSS-Gemeinde, während Microsoft seine Lücken nur selbst baut. Mac OS X hingegen bekommt die Bugs hausgemacht *und* durch die vielen OSS-Projekte, die serienmäßig mit an Bord sind, dazu noch das Flash-Plugin - damit kann man gut Platz #1 "erzielen".

Hannes Gnad
Man findet für alles eine Entschuldigung wenn man nur lange genug nachdenkt?!
Wenn du schon Win NT als Urvater für Win 7 anführst, solltest du auch NeXTSTEP als Urvater für Mac OS X erwähnen, das ist nämlich schon 21 Jahre alt.

Ich würde eher sagen das Apple zum Großteil schlicht ewig braucht bis es Sicherheitsupdates verteilt. Ich habe den Eindruck da wird dann eher auf wenige Updates, in denen dann viele Sachen gebündelt gefixt werden, gesetzt, um so dem User ein Gefühl von "Ich brauche wenige Sicherheitupdates, also ist mein System sehr sicher" zu geben. Gäbe es ähnlich viele Viren, etc für OS X wie für Windows, würde es aber schlecht aussehen.

@Sitox: Ich schreibe "Hintergründe", Du schreibst "Entschuldigung". NeXTSTEP als Urvater des heutigen Mac OS X anzuführen kann man machen, in Hinblick auf die heutigen Sicherheitsfragen führt das aber nicht weiter.

@messmachine: Die Zeit bis zum Release der Fixes ist zwar ein Teil des Gesamtproblems, hat aber wenig mit den Hintergründen zu tun.

Eine wirklich "unabhängige Meinung" *sick*
Man hat irgendwie das Gefühl, dass diese Firma Geld mit Sicherheitslücken verdient, aber dass ihre Branche es über Jahre nicht geschafft hat das Problem auch nur annähernd in den Griff zu bekommen. Un fou qui mal i pense.

Sicherheitsprobleme können nur an der Wuzel gelöst werden und nicht mit dubiosen, Resourcen fressenden Mitteln von irgendwelchen 3rd Party Klitschen mit der natürlichen Absicht das Problem am Leben zu erhalten, weil es schließlich ihre Daseinsberechtigung ist.

ihr habt aber schon die "news" gelesen? weil da steht drin dass der großteil der sicherheitslücken in den browsern steckt..

Denyo, genau das hab ich mir auch gedacht, ist ja auch nur hervorgehoben, das
...nen eimer mit nem loch ist auch relativ dicht

aber ist schon richtig was tum thema sicherheit von os x gesagt wird.

wenn die vertreitung höher wäre und die angriffe zunehmen, so wie bei windows würde apple denke auch viel mehr geld/zeit in sicherheit investrieren, da es aber nur wenige nutzen und fast alle viren etc für windows sind ist apple im moment einfach zu faul etwas an der sicherheit ihres systems zu tun

Denyo:

Vor allem Safari fällt da im aktuelle Bericht negativ auf, der sich in einer ganz speziellen und schon länger bekannten Sicherheitslücke (autocomplete exploit) auf dem Niveau von IE6/IE7 befindet und mit diesem diese Lücke betreffend gleichzieht, während alle anderen Browser-Hersteller da ihre Lücken, was diese spezielle Lücke angeht, schon längst geschlossen haben...


Ja. Immerhin beruft sich u.a. auch Apple auf deren Berichte, wenn Apple seine Sicherheits-Updates herausgibt und seine Credits verteilt...

Ich glaube, Du solltest nochmal genau nachschauen, wer oder was Secunia eigentlich ist und nachprüfen, ob Du da nicht evtl. was falsch verstanden hast und in einen Topf schmeißt, was nicht in einen Topf gehört...

Aufgabe und Selbstverständnis von Secunia ist es NICHT, den anderen Software-Herstellern Honig um den Bart zu schmieren und diese möglichst zu lobpreisen. Sondern Schwachstellen zu bennenen und auszubügeln. Wären die anderen Hersteller besser und erfolgreicher in ihrem Tun, wäre man bei Secunia nahezu arbeitslos, weil es eben auch nix zu finden und zu bemängeln gäbe.

Außerdem sollte man bei der ganzen Diskussion nicht vergessen: die in der Branche viel beachtete und nicht ganz unwichtig gewordene BlackHat-Konferenz steht unmittelbar bevor. Da werden in diesem Rahmen wieder gnadenlos die verschiedensten Betriebssysteme was Sicherheit angeht, auf Herz und Nieren geprüft bzw. von Hackern und Crackern einem Stresstest unterzogen, um Lücken aufzuspüren und offenzulegen bzw. sptestens dann offenzulegen, nachdem man zuvor wochen- und monatelang den betreffenden Herstellern Bescheid gesagt hatte und ihnen Zeit und Gelegenheit gegeben hatte, zu reagieren und die Lücken zu fixen.

Unter anderen auch deshalb gab's vorgestern/gestern rechtzeitig davor ein Update von Firefox auf die Version 3.6.7. Weil man seitens Mozilla rechtzeitig VOR dieser Konferenz seinem Browser ein paar wichtige Sicherheits-Updates angedeihen lassen wollte (so nachzulesen in den einschlägigen Beschreibungen und Niederschriften des Mozilla Wikis zu diesem Release).

Und genauso ist's richtig: VOR so einem Event nochmal Gas geben, damit man bzgl. solcher Stresstests und Hackversuche gut vorbereitet ist bzw. nochmal sein Bestes gegeben hat, damit während und nach so einem Event nicht das große Jammern anfängt und man nicht bös auf kaltem Fuß erwischt wird.

Es gilt wie immer. Ohne Mithilfe des Anwenders geht gar nichts.

Quickmix:

Richtig. Dazu muss er aber erstmal WISSEN. Und was seine fünf Sinne ihm von Haus aus nicht mitteilen bzw. nicht mitteilen können, dazu braucht er dann gegebenenfalls Unterstützung von außen (wenn sie nicht von Haus aus vom System schon bereitgestellt worden sind, die er natürlich möglichst und weidlichst sowieso nutzen sollte) bzw. kleinere Hilfsmittel, die ihm beim Erfassen/Hervorheben von Informationen für seine vorhandenen 5 Sinne dabei helfen. Erst dann kann er ggf. reagieren und HANDELN. Solange der Anwender aber diesbzgl. eher im Dunkeln tappt (oder gelassen wird) und lieber blind dem vertraut, was er da vor sich hat bzw. vorgesetzt bekommen hat, ist das Risiko, dass sich mangels eines 6. oder 7. Sinnes irgendwas hinter seinen Rücken abspielt und er es nicht mitbekommt oder sich in die Irre führen und täuschen lässt, gegeben oder gar in einer Vielzahl der Fälle stark erhöht.

also bitte... wer glaubt denn so einen quatsch

Falsch!

In der Vergangenheit gabs immer wieder Lücken, bei denen ein einfaches ansurfen einer Webseite reichte um sich Schadsoftware aufs System zu holen. Wer jetzt sagt: Das passiert doch nur, wenn man auf dubiosen Webseiten unterwegs ist, dem antworte ich: Nochmal falsch! Es ist immer möglich, dass über Server-Hacks von seriösen Webseiten oder über Werbe-Anbieter auch ganz normale Seiten Schadsoftware ausliefern.

@Hannes GnadWenn überhaupt dann zählt nur dieser Open Source Grund.
Und nicht weil Open Source schlecht wäre, aber die gehen eben auch ganz anders mit Sicherheitslücken um.
Bei Mozilla werden z.B. üblicherweise um die 5-7 Sicherheitslücken pro Update gefixt. Öffentlich bekannt waren davon fast immer nur ein Drittel oder sogar noch weniger.
Bei Closed Source Projekten gibt man allerdings nur die zu, die auch öffentlich bekannt sind.
Würde man also vergleichbar Zählen und Mac OS X hat ja nun mal recht viel Open Source Code drin, ja dann könnte sich die Relation schon sehr verändern.

der_neue:

+1

Und insofern volle Zustimmung. Wenn Du mein "Richtig" im Zusammenhang siehst, was ich danach geschrieben habe und davor und überhaupt die vielen Male zuvor hier bei MTN, so dürfte auch Dir nicht verborgen geblieben sein, wie und in welcher Richtung ich dieses "Richtig" gemeint habe. Da sind wir beiden nämlich offenbar ausnahmsweise mal deckungsgleich, was diese spezielle Grundansicht angeht.

Zumal auf der Mac-Plattform hier eigentlich noch mehr Obacht und Vorsicht und Aufmerksamkeit bzw. Vorkehrung seitens des Benutzers angebracht sein sollte allein dadurch, dass der Hersteller des Systems (Apple) sich beim Fixen von Sicherheitslücken (die teilweise dieselben sind wie bei anderen Herstellern, aufgrund der gemeinsam geteilten Open-Source-Basis) in aller Regel deutlich mehr Zeit lässt und diese Fixes zum Anwender durchreicht, als es andere Hersteller tun, die sich damit nicht soviel Zeit lassen. Der Apple-Nutzer ist durchschnittlich länger mit irgendwelchen ungepatchten und offenen Sicherheitslücken unterwegs als das unter anderen Betriebssystemen der Fall ist. Sein Glück bisher ist, dass genau dieser Umstand bislang noch nicht ausgenutzt wurde. Aber kann und sollte man sich in diesem Punkt da allein auf sein Glück verlassen?

Aronnax:

Gerade DAS wäre ein Grund, zumindest bei erkannten und auf dieser Open-Source-Basis in Umlauf befindlichen, allgemein verfügbaren Patches eigentlich BESONDERS schnell reagieren zu können und diese BESONDERS schnell und zügig den Anwendern zur Verfügung stellen zu können.

Apple zieht es aber bisher vor, auch diese Sachen erstmal zu warten und zu sammeln, statt sie gleich bzw. so früh wie nur irgend möglich zum Anwender hin weiterzureichen, so wie es Linux-Distributoren und auch bei FreeBSD und OpenBSD (egal, ob nun Privatanwwender oder Business- bzw. Enterprise-Kunde) ja auch langjährige und erfolgreiche Praxis ist.

Ob diese Praxis wohl ewig so gutgehen kann und dem Anwender gegenüber wirklich als fair und verantwortungsvoll bezeichnet werden kann, wenn dieser immer so lange warten muss und im Grunde weiß, dass er eigentlich sicherer aufgestellt sein könnte, einfach weil er sieht und mitbekommt, dass andere Hersteller/Distributoren (die u.U. genau dasselbe Problem haben und genau dieselben Patches verwenden) es anders machen und besser/früher hinbekommen?

Die aktuelle libpng-Lücke ist z.B. gefixt worden vor wenigen Wochen, verschiedene Software-Hersteller haben hier bereits mit Updates reagiert, libpng selber ist gefixt.
Selbst auf MacPorts stellt hier seit wenigen tagen eine gefixte Version von libpng zur Verfügung. Und wann wird Apple nachziehen? Wieviele Wochen wird das wieder dauern? libpng ist eine nicht unwichtige Bibiothek in MacOSX, wird u.a. auch von WebKit/Safari und anderen Komponenten benutzt. Und die entdeckte Schwachstelle in libpng wird derzeit schon fleißig aktiv ausgenutzt.

FYI:

Passend zum Thema und im Angesicht der in Kürze stattfindenden BlackHat-Konferenz, hier eine Meldung von heute:

heise: Googles Sicherheitsteam definiert "Verantwortung" um

Der Vorstoß ist sehr zu begrüßen, vor allem einer profitiert davon: der Anwender.

Schon richtig, allerdings glaube ich auch nicht das Mac OS X Kunden die schnelle Taktung von üblichen Open Source Anwendungsupdates begrüßen würden. Etwas häufiger wäre aber beim auch beim Mac mehr als angemessen

Aber wie auch immer, diese Art von Statistik ist sowieso fragwürdig. Bei Browsern z.B. sind die meisten eher theoretischer Natur und nur dann und wann gibt es wirklich mal richtig gefährliche Löcher. Die kaum vergleichbare Art zu zählen kommt dann auch noch dazu u.s.w.
Vernünftiger für so ein Urteil "Software von xxx ist unsicherer als von xxx" wäre wohl ein Gewichtung nach der Schwere der Lücken, der Anzahle und der Zeit in dem diese Ausnutzbar sind.

Aronnax:

Alles eine Sache der Gewohnheit und ob und wie Apple das seinen Kunden schmackhaft machen kann bzw. will. Apple kann doch so viele Sache denen schmackhaft machen. Warum auch nicht die Tatsache, dass der besonders im Open-Source-Umfeld gewachsene Grundsatz "release quickly, release often" gerade beim Thema Sicherheit besonders für den Anwender eigentlich nur VORTEILE hat.

Warum nicht einfach mal zwischendurch ein kurzes schnelles Update, meinetwegen im Hintergrund und natürlich ohen Neustart? Bei Linux-Distributionen und auch bei den anderen freien BSDs klappt das seit Jahren hervorragend! Das erfordert gar nicht groß irgendwelche Aufmerksamkeit vom Anwennder. Kurze Benachrichtigung, dass da was zur Verfügung steht (oder auch nicht, wenn der Anwender selbst das nicht möchte), und dann schnell rauf damit im Hintergrund oder nach kurzer Bestätigung.

Wo ist das Problem? Reine Kopfsache, eine reine Frage der "Kultur". Sicherheits-Updates sind was GUTES. Sie können im Verborgenen stattfinden und ohne den Anwender groß in Beschlag zu nehmen. Sie als störend zu betrachten und zu brandmarken, halte ich für gelinde gesagt töricht. Je schneller, je häufiger (entsprechende Stabilität vorausgesetzt, aber das Problem haben ja alle Open-Source-Distributoren gleichermaßen: alle Anbieter müssen das vorher ggf. testen, nur braucht Apple da anscheinend länger zu als andere) desto besser.

Ich nannte grad' die aktuelle libpng-Lücke. Die ist sehr konkret und wird sehr konkret derzeit ausgenutzt. Genau deshalb ist die Dringlichkeit bei sowas dann besonders hoch, dass passende Patches schnell in den Programmen landen, die dann auf diese Bibliothek zugreifen. So ziemlich jeder Browser greift auf sie zurück, Safari wird da keine Ausnahmen bilden.

@sierkb: Ein Problem bleibt bestehen, selbst wenn Apple Sicherheitsupdates schneller herausgibt: Die Benutzer. Die halten vom Thema "Sicherheit" samt Updates meistens nichts, und insbesondere der "typische" Mac-Anwender überhaupt nichts. Die müssen erst mal durch die harte Schule, die die Windows-User bereits hinter sich haben, und selbst bei denen gibt es immer noch Update-Verweigerer.

Neulich lief mir ein Benutzer mit einem iBook G3 samt 10.3.9 und Safari 1.3.x entgegen, und auf meinen Hinweis, daß ich ihm von der Benutzung des Internets mit so einem System dringend abrate, hat er nur freundlich gelächelt und gemeint: "Och, ich mache dort doch gar nicht so viel", und surfte los.

Apple wird das Thema "Auto-Update" weiter ausbauen müssen, von wegen Laden der Updates im Hintergrund und Installation beim Abschalten/Einschalten/etc. des Rechners.

Hannes Gnad:

Leider. Kann man hier bei MTN anhand des Widerstands einiger Leute trefflich beobachten. Meines Erachtens die Folge einer jahrelangen falschen Umgangskultur mit diesem Thema. Weil man das aus OS9-Zeiten so gewohnt war und auch lange Zeit zu Windows-Zeiten so gehandhabt hat. Mit entsprechenden Folgen, die man in der Windows-Welt trefflich studieren kann, und über die sich der durschnittliche Mac-Nutzer so gerne erhebt. Dabei ist's dort im Grunde genauso oder teilweise noch schlimmer. Wenn das sich einmal in den Köpfen festgesetzt hat, dann ist's nur schwer, die Leute diesbzgl. umzugewöhnen oder "umzuerziehen".

Und schlecht, wenn noch nicht mal der Betriebssystem-Hersteller selber sich traut, der ihnen ja sonst soviel abnimmt und ihnen teilweise mit sanftem Druck beibringt: "Du musst das jetzt aber so und so machen, weil ich das gerne so hätte..."

Andere zwischenzeitlich Updates, die i.d.R. dienstagsabends oder donnerstagsabends auf die Rechner der Anwender gespült werden, werden doch auch imemr mit Freude erwartet, da findet doch auch immer ein regelrechtes Happening statt, und diesen Terminen wird dann entgegengefiebert.

Und warum sowas nicht auch bzgl. zwischenzeitlicher Sicherheitsaktualisierungen, die dann z.B. auch im wöchentlichen Rhythmus stattfinden oder auch einfach mal nur so zwischendurch? Sicherheits-Aktualisierungen sind kein Makel, sie sind mindestens genauso was Gutes, das sich feiern und dem sich entgegenfiebern ließe wie bzgl. der ganzen anderen Aktualisierungen und Updates, denen da teilweise so entgegengefiebert wird! Nur mit dem Unterschied, dass sie an mancher Stelle dringlicher sind und deshalb auch öfters stattfinden sollten, anstatt sie imemr nur zu horten und den Anwender solange dann einem erhöhten Risiko auszusetzen.

Das befürchte ich auch.
Lernen durch Schmerzen sozusagen.

Bezüglich "unsicherer" ist die Anzahl der Bugs ist nicht so wichtig wie die Gefährlichkeit (Qualität) einzelner Bugs.

MacMark:

Das ist zwar nicht falsch, aber: bzgl. Apples Produkten ist der Anwender auf Gedeih und Verderb Apples Ansicht und Gewichtung und Entscheidung ausgeliefert, welcher Bug tatsächlich als "gefährlich" einzustufen ist und welcher nicht.

Zumal es nur und rein ungefährliche Bugs ja auch nicht nur gegeben hat, die gefixt worden sind. Die Gefährlichkeit definiert sich nicht ausschließlich alleine dadurch, ob nun tatsächlich der worst case eingetreten ist und Anwender Schaden davongetragen haben. Oder ist ein Bug erst dann gefährlich, wenn Anwender tatsächlich echten messbaren Schaden davongetragen haben? Und wie misst man das dann? Wo ist die Messlatte da anzulegen? Geht's erst bei 1000 Anwendern los? Oder bei 10000? Oder bei 100000? Oder reichen schon 10 oder 5?
Wer entscheidet hier über "gefährlich" oder "nicht gefährlich"?

Solange also von Apple in dieser Richtung nichts rübergewachsen kommt in Richtung Anwender, darf dieser die ganze Zeit also darauf warten und hoffen, dass Apple da schon noch die richtige entscheidungen und Gewichtungen trifft?

Und wenn sich während dieses Wartens auf Apples Entscheidung z.B. eine Verschärfung des Problems ergibt? Wenn aus einem evtl. zunächst harmlos erscheinenen Bug plötzlich ein weniger harmloser Bug entwickelt, weil der in der Zwischenzeit plötzlich zum Angriffsziel geworden ist oder im Begriff ist zu einem solchen zu werden?

Wer entscheidet, ob ein Bug ungefährlich ist und vor allem das in Zukunft auch bleibt? Apple alleine? Und wenn Apple diesbzgl. mal nicht schnell genug sein sollte und der Anwender das Nachsehen hat, weil Apple mit seinem Bugfixing zulange braucht bzw. Apple die Lage mal etwas falsch eingeschätzt hat?

Wäre es da nicht besser und weiser (und in mancher Hinsicht auch vorausschauender und entlastender), diesbzgl. grundsätzlich anders mit Bugs und mit Bugfixing umzugehen und mit dem, wie schnell man die Fixing-Ergebnisse zum Anwender/Kunden rüberwachsen lässt?