Verschwieg Apple Google für Monate eine Zero-Day-Sicherheitslücke in Chrome?
Je komplexer Software ist, desto einfacher schleichen sich Sicherheitslücken ein – und seit den späten 90ern haben sich Web-Browser zu sehr umfangreichen Projekten entwickelt. Hersteller stecken viel Energie in die Absicherung von Browsern – beispielsweise durch Prozess-Separation, Sandboxing und viele weitere Verfahren. So soll erreicht werden, dass selbst wenn Sicherheitsmängel auftreten, diese keine katastrophalen Auswirkungen haben. Ein Problem ist jedoch, dass die Entwickler erst einmal von Sicherheitslücken erfahren müssen, bevor diese überhaupt behoben werden können – und hier ist eine Zusammenarbeiten von Unternehmen sehr wichtig.
Googles "Project Zero" meldet regelmäßig an viele Unternehmen, unter anderem auch an Apple, sicherheitsrelevante Fehler. Doch zumindest in einem Fall scheint der umgekehrte Weg nur sehr zeitverzögert funktioniert zu haben:
Im März auf Hacker-Wettbewerb entdecktEin Apple-Angestellter nahm im März 2023 am Hacker-Wettbewerb "Capture The Flag", kurz CTF, teil – und stieß auf eine Zero-Day-Lücke in Google Chrome. Bei Zero-Day-Lücken handelt es sich um Schwachstellen, welche aktuell noch nicht bekannt sind und keine Updates bereitstehen. Diese sind besonders kritisch, wenn zuerst Hacker diese Schwachstellen finden. Der Apple-Mitarbeiter entdeckte beim CTF-Wettbewerb eine solche Lücke in der WebGL-Umsetzung von Google Chrome – doch eine Meldung an Google blieb wohl für drei Monate aus.
Google mit SeitenhiebEin anderes Team, welches ebenfalls beim CTF-Contest teilnahm, meldete schließlich die Lücke an Google – und die Chrome-Entwickler reagierten mit einem Seitenhieb in den Update-Notzen:
This issue was reported by sisu from CTF team HXP and discovered by a member of Apple Security Engineering and Architecture (SEAR) during HXP CTF
Frei übersetzt: "Die Schwachstelle wurde von sisu des CTF-Teams HXP gemeldet und von einem Mitglied des Apple-Sicherheitsteams entdeckt." Hiermit will Google sagen, dass Apple die Lücke nicht selbst gemeldet hat, sondern dass ein Mitglied eines anderen Teams, welches ebenfalls auf dem Hacking-Wettbewerb teilnahm, Google in Kenntnis setzte.
Apple-Mitarbeiter rechtfertigt sichTechCrunch schreibt, dass sich der Apple-Mitarbeiter des Sicherheitsteams auf einem Discord-Server diesbezüglich rechtfertigte. Er habe zwei Wochen damit verbracht, einen vollen Bericht inklusive Demonstration des Fehlers zu verfassen. Danach musste er sich von diversen Managern Freigaben einholen – und dies habe die Meldung um drei Monate auf den 5. Juni verzögert. Außerdem will das Mitglied des Apple-Sicherheitsteams keine echte Dringlichkeit gesehen haben: Da der Hack nicht auf Android-Geräten ausführbar ist und auf PCs wie auch Macs die Nutzeroberfläche für einige Sekunden hängt, sei die Gefahr eines echten Angriffs sehr gering.