Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitslücken: OS X und iOS sind CVE-Spitzenreiter

Noch vor dem Adobe Flash Player findet sich Apple in der Jahresstatistik gemeldeter CVE-Sicherheitslücken (Common Vulnerabilities & Exposures) für 2015 wieder. Demnach hat Apple im vergangenen Jahr sowohl bei OS X als auch iOS besonders viele Meldungen (384 bzw. 375) über Sicherheitslücken erhalten. Dahinter folgen verschiedene Adobe-Produkte rund um den Flash Player, die auf bis zu 314 Meldungen kamen. Der Microsoft Internet Explorer findet sich mit 231 Meldungen auf Platz 7 wieder, gefolgt von Google Chrome (187 Meldungen) und Mozilla Firefox (178 Meldungen). Safari steht mit Platz 19 und 135 Meldungen etwas besser da.


Im Vergleich zu iOS kommt Google Android auf 130 Meldungen und befindet sich damit auf Platz 20. Dies hat Google unter anderem der Linux-Basis von Android zu verdanken, die nicht in die Statistik einfließt, sowie dem eigenen Sicherheitsteam, welches Lücken durch regelmäßig Updates bereits im Keim erstickt. Apple agiert diesbezüglich relativ passiv und benötigt für die Schließung mancher Sicherheitslücken auch ungewöhnlich viel Zeit.

Zu den "Highlights" geschlossener Sicherheitslücken in Apple-Produkten zählen unter anderem eine AirDrop-Lücke zur App-Einschleusung in iOS 8 sowie zwei root-Lücken, mit denen die Kontrolle über das System erlangt werden konnte. Darüber hinaus plagte sich Apple nicht zum ersten Mal mit einer Sicherheitslücke in Thunderbolt.

Weiterführende Links:
7 Jahre APFS: Vorteile und Eigenheiten von Apples modernem Dateisystem
7 Jahre APFS: Vorteile und Eigenheiten von Appl...
Vision Pro: Apple stellt bisherige Strategie auf den Prüfstand
Vision Pro: Apple stellt bisherige Strategie au...
Kurz: Beliebige KI-Musik mit Udio komponieren (lassen) +++ Spotify "Music Pro" auf dem Weg?
Kurz: Beliebige KI-Musik mit Udio komponieren (...
"Der Hackintosh liegt auf dem Sterbebett" – das Ende einer inoffiziellen Ära
"Der Hackintosh liegt auf dem Sterbebett" – das...
Apple und FIFA mit Milliardendeal?
Apple und FIFA mit Milliardendeal?
Test Cambridge Audio CXN100
Test Cambridge Audio CXN100
EU greift durch: Apple darf iPadOS nicht mehr vor Konkurrenz abschotten – Regeln wie für iOS müssen greifen
EU greift durch: Apple darf iPadOS nicht mehr v...
MacBook Air M3: Erste Geschwindigkeitsvergleiche aufgetaucht
MacBook Air M3: Erste Geschwindigkeitsvergleich...

Kommentare

Stereotype
Stereotype04.01.16 10:51
Eine hohe Anzahl klingt natürlich ziemlich spektakulär, nur finde ich, dass diese Zahlen wenig über die Qualität der Sicherheitslücken aussagen oder wie einfach diese tatsächlich ausgenutzt werden können.
0
exi
exi04.01.16 10:52
Betretenes Schweigen in der MTN-Community. Man könnte eine Stecknadel fallen hören.
0
Siganomas
Siganomas04.01.16 11:01
Warum werden denn alle Windows-Versionen einzeln aufgeschlüsselt und OS X nicht?
Verzerrt das nicht?
Ich werde mich diesem verbrecherischen Missbrauch nicht beugen.
0
NGA
NGA04.01.16 11:02
Bei Mac OS X und iOS wurden die unterschiedlichen Versionen zusammengefasst – bei Windows nicht; zählt man die unterschiedlichen Windows Versionen zusammen, steht Windows auf Platz 1 mit 1160 Sicherheitslücken.

Sicherheitslücken (halbwegs) aktueller Versionen:
Mac OS X 10.11.1 → 46 Sicherheitslücken
iOS 9.1 → 50 Sicherheitslücken

Mac OS X aufgeteilt nach Versionen: →
iOS aufgeteilt nach Versionen: →
0
nane
nane04.01.16 11:04
Wundert mich, dass Apple das Thema Sicherheit nicht für sich nutzt. Das Apple Marketing könnte enorm profitieren und sich für verhältnismässig "kleine" Geldsummen oder Sachgeschenke (MacBooks, iPads, iPhones) z.B. die "Lücken" des Tages, der Woche, des Monats, des Jahres usw. in einem ständigen Wettbewerb "kaufen".

Dieser dauerhafte Wettbewerb könnte mit der Zeit ein Synonym für die Sicherheit des OS X und iOS werden und damit auch neue (Sicherheitsbewusste) Käufer anziehen.

Und dafür jeden Monat ein echtes "Security" Update für die letzten 3 OS X und iOS Versionen, das kommt sicher an bei den Benutzern. Da würde nicht mal mehr ich motzen wegen der "Dauerupdates"
Das Leben ist ein langer Traum, an dessen Ende kein Wecker klingelt.
0
exi
exi04.01.16 11:05
Siganomas
Warum werden denn alle Windows-Versionen einzeln aufgeschlüsselt und OS X nicht?
Verzerrt das nicht?
Du hat Recht. Viele sind in den WinOS-Versionen vermutlich nicht gefixt worden, so dass man die Lücken der einzelnen Versionen nicht einfach addieren kann. Schönes Beispiel Accrobat und Accrobat Reader.
0
gritsch04.01.16 11:05
vergleicht mal die 4 großen browser (und vor allem bezieht die durchschnittliche "vulnerability" der einträge mit ein):

http://www.cvedetails.com/top-50-product-cvssscore-distribution.php
0
MacRudi04.01.16 11:20
nane
+1
0
klatuu04.01.16 11:35
Zitieren wir doch mal die Heise Meldung von gestern dazu:
Heise Online
Keine Sicherheits-Rangliste

Die CVE-Liste eignet sich nicht als Indikator zur Beurteilung der Sicherheit von Software. Denn nicht jede reale Sicherheitslücke erhält eine CVE-Nummer. Außerdem spielt für die Rangliste keine Rolle, wie viele Lücken tatsächlich von Angreifern ausgenutzt werden, wie groß die Gefahr für die Nutzer dabei ist und wie schnell die Lücken geschlossen wurden.

Zum Beispiel wurden bei Android deutlich weniger Schwachstellen mit CVE bekannt als bei iOS. In der Praxis sind Android-Nutzer jedoch gefährdeter. Das liegt zum einen an der schlechteren Versorgung mit Sicherheits-Updates, zum anderen an der Bedrohung durch Malware: Die meisten Smartphone-Trojaner attackieren ausschließlich Android.

Die Statistik von CVEDetails nutzt außerdem uneinheitliche Zählweisen: Lücken in Windows 7, 8, 8.1 und 10 werden getrennt aufgeführt, die unterschiedlichen Versionen von Mac OS X hingegen in einem Eintrag zusammengefasst.

Mal plakativ: Wenn ein Hersteller einer Software nie Bugfixe vornimmt, dann gibt es auch keine CVE Nummern, außer Sicherheitslücken werden durch Externe entdeckt und gemeldet. Apple meldet jedoch bei jedem Update brav die geschlossenen Lücken und für jede Lücke gibt es dann eine CVE Nummer. Und mit dem Update sind die Lücken dann auch bereits geschlossen. Wo ist die Software von Apple denn dann unsicherer ? Fehlen nur noch die obligatorischen "Bei Steve wäre das nicht passiert" Postings. Irre.
Festzuhalten ist, das sicherste Mobilbetriebssystem aktuell ist iOS und das liegt nicht an albernen Virenscannern, sondern an der Sicherheitsstruktur von iOS. Bitte wen es interessiert lesen:
http://images.apple.com/business/docs/iOS_Security_Guide.pdf
Wenn man die dort beschrieben Aspekte mit dem Security Whitepaper von BlackBerry's neuem Android vergleicht, entdeckt man übrigens viele Parallelen.
https://help.blackberry.com/de/bes12/12.3/security/kja1444235374663.html
0
PaulMuadDib04.01.16 11:45
exi
Betretenes Schweigen in der MTN-Community. Man könnte eine Stecknadel fallen hören.
Warum? Und warum "betreten"?
Diese Zahlen sagen nun mal leider nix über die Gesamtsicherheit des Systems aus. Man kann sie als gegeben zu Kenntnis nehmen. Mehr nicht.
0
Eventus
Eventus04.01.16 11:54
nane
Das Apple Marketing könnte enorm profitieren und sich für verhältnismässig "kleine" Geldsummen oder Sachgeschenke (MacBooks, iPads, iPhones) z.B. die "Lücken" des Tages, der Woche, des Monats, des Jahres usw. in einem ständigen Wettbewerb "kaufen".
Es könnte paradoxerweise zum Anstieg der Lücken führen, wenn sie an Wert gewönnen. Das wäre wie damals bei der Belohnung für getötete Ratten.
Live long and prosper! 🖖
0
nane
nane04.01.16 12:12
Eventus
Ja, auf lange Sicht wurde die Rattenplage nicht durch "Tötungen" sondern durch den Wiederaufbau, "besseres" Mauerwerk und eine funktionierende "Entsorgung" in den Griff bekommen
Unabhängig davon sind "Nagetiere" aus dem Bewusstsein der Bevölkerungen in Gross-Städten verschwunden und damit auch die Verbindung zu Seuchen und Krankheitsübertragungen, die man mit der "Tötung" der Nager bekämpfen wollte. Praktisch wurde einfach die damalige Jugend (also unsere heutigen Eltern/Grosseltern) beschäftigt

Würde Apple die gleiche Taktik beim Stopfen von Sicherheitslücken oder auch Bugs in seinen Systemen und Apps anwenden - dann verschwindet in 20 Jahren die Bedrohung der Sicherheit von IT Systemen aus dem Focus der Gesellschaft. Dann sind IT Systeme wieder "Werkzeuge"
Das Leben ist ein langer Traum, an dessen Ende kein Wecker klingelt.
0
Hannes Gnad
Hannes Gnad04.01.16 12:39
Als jemand, der hin und wieder für Apple vor Publikum steht, um über technische Themen zu sprechen: Es bietet sich an, mit dem Sicherheitsthema nicht anzugeben oder andere Systeme zu bashen. Probleme gibt es überall, kein OS ist frei von Bugs und Exploits, die Hersteller geben sich mehr oder weniger Mühe, und haben unterschiedliche Strategien: OS X - alle zwei Monate ein .x-Update inkl. Security Fixes, Windows - Patch Days mit vielen kleinen Updates, Android - hängt vom Geräte-Hersteller ab usw.

Apple sagt, das Thema Sicherheit sei ihnen sehr wichtig, und gebe sich Mühe, meinem persönlichen Dafürhalten nach könnte Apple aber immer noch mehr machen.
0
git push04.01.16 12:43
Es ist ja gar nicht möglich das Apple und OSX hier in den News genannt werden. Jeder weiß doch und es wurde ja schon in tausenden von Beträgen und News genannt. "APPLE SOFTWARE IST DAS NON-PLUS-ULTRA DER WELT UND SICHERHEIT". Bleibt also alle ganz ruhig und entspannt. Es kann gar nichts passieren.
live long and prosper
0
git push04.01.16 12:44
Es ist ja gar nicht möglich das Apple und OSX hier in den News genannt werden. Jeder weiß doch und es wurde ja schon in tausenden von Beträgen und News genannt. "APPLE SOFTWARE IST DAS NON-PLUS-ULTRA DER WELT UND SICHERHEIT". Bleibt also alle ganz ruhig und entspannt. Es kann gar nichts passieren und die Nachricht will wieder nur alles aufbauschen.
live long and prosper
0
deus-ex
deus-ex04.01.16 15:54
Haufen Lücken ja. Aber bei iOS kommen die Fixes wenigstens beim Kunden an. Bei Android eher nicht.

Desshalb wäre es interessant zu wissen wie viele offene Lücken in freuer Wildbahn beim jeweiligen OS unterwegs sind.
0
ratti
ratti04.01.16 15:58
deus-ex
Haufen Lücken ja. Aber bei iOS kommen die Fixes wenigstens beim Kunden an. Bei Android eher nicht.

„Android“ existiert so nicht, ähnlich „Linux“ oder „Auto“

Auf meinem Nexus 4 mit Cyanogenmod kommen täglich Updates, ich bin dort aktueller als Stock Android.
Auf meinem Medion Tab… wartemal… ich zähl' mal durch… ach ja: Noch nie.

Rate mal, wo ich wieder kaufe.
0
Eventus
Eventus04.01.16 17:08
ratti
Rate mal, wo ich wieder kaufe.
Wos am billigsten ist, wie die meisten Android-Käufer?!
Live long and prosper! 🖖
0
maczock04.01.16 19:05
nane
Ja, auf lange Sicht wurde die Rattenplage nicht durch "Tötungen" sondern durch den Wiederaufbau, "besseres" Mauerwerk und eine funktionierende "Entsorgung" in den Griff bekommen
Unabhängig davon sind "Nagetiere" aus dem Bewusstsein der Bevölkerungen in Gross-Städten verschwunden und damit auch die Verbindung zu Seuchen und Krankheitsübertragungen, die man mit der "Tötung" der Nager bekämpfen wollte.

Schön gedacht, aber falsch:
0
X-Jo04.01.16 21:56
In der Tabelle sind OS X und iOS gar nicht aufgeführt! Wo seht ihr die?

1 Mac Os X: Vor Jahren gab’s mal Mac OS X.
2 Iphone Os: Noch nie gehört. Könnte das ein chinesisches Smartphone OS sein?

Sehr objektiv, diese Tabelle …
0
Eventus
Eventus04.01.16 23:14
X-Jo
2 Iphone Os: Noch nie gehört. Könnte das ein chinesisches Smartphone OS sein?
Bis und mit Version 3.0 hiess iOS tatsächlich iPhone OS – allerdings nie Iphone Os (sic!).

Wie präzise eine Auflistung wirkt, die sich solche «Tippfehler» erlaubt, will ich nicht sagen.
Live long and prosper! 🖖
0
someone05.01.16 17:44
Passend zum Thema:
"Wenn ihr ernsthaft vertrauliche Arbeit auf Apple-Laptops macht: Hört auf. Um Gottes willen, bitte hört auf"
0
Eventus
Eventus05.01.16 17:52
someone
Passend zum Thema:
"Wenn ihr ernsthaft vertrauliche Arbeit auf Apple-Laptops macht: Hört auf. Um Gottes willen, bitte hört auf"
Hätte er das über Windows gesagt, hätte ihn kein Mensch verlinkt. qed
Live long and prosper! 🖖
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.