Abo
  • Services:
Anzeige
Google meldet weitere Sicherheitslücken in Apples OS X.
Google meldet weitere Sicherheitslücken in Apples OS X. (Bild: Justin Sullivan/Getty Images)

Project Zero: Google enthüllt weitere Sicherheitslücken in Apples OS X

Google meldet weitere Sicherheitslücken in Apples OS X.
Google meldet weitere Sicherheitslücken in Apples OS X. (Bild: Justin Sullivan/Getty Images)

Innerhalb einer Woche hat Google Details zu zwei weiteren Sicherheitslücken in OS X veröffentlicht. Bevor Apple Patches veröffentlicht hat, ist Googles 90-Tage-Schonfrist abgelaufen. Zudem sind Windows-Systeme derzeit über ein Sicherheitsloch in Adobes Flash-Player angreifbar.

Anzeige

Zwei weitere Sicherheitslücken hat Google in Apples OS X gefunden. Diese wurden nun im Rahmen von Googles Project Zero nach einer Schonfrist von 90 Tagen automatisch veröffentlicht. Für beide Sicherheitslücken sind bisher keine Patches veröffentlicht worden, Google hat wie gewohnt Exploit-Code veröffentlicht, um das Vorhandensein der Sicherheitslecks zu belegen.

Schwachstelle in der Bluetooth-Implementierung

Der eine Fehler betrifft die Bluetooth-Funktionen in OS X: Eine Memory-Corruption-Sicherheitslücke macht sich bemerkbar, wenn Bluetooth-Geräte mit einem Apple-Rechner verbunden sind. Google hat den Fehler nach eigenen Angaben mit einer Apple-Bluetooth-Tastatur reproduzieren können. Google macht keine Angaben dazu, in welchen Versionen von OS X der Fehler auftritt.

Anders sieht es bei einem weiteren Sicherheitsloch aus, das in Intels Accelerator-Treiber steckt. Ein Angreifer kann sich darüber Root-Rechte auf dem System verschaffen und somit entsprechenden Zugriff auf ein fremdes System erlangen. Nach Angaben von Google wurden die Fehler in OS X 10.9.5 sowie in OS X 10.10 gefunden. Allerdings kann der Fehler in OS X 10.10 nur noch eingeschränkt ausgenutzt werden.

Noch keine Reaktion auf anderes OS-X-Sicherheitsloch

Vor wenigen Tagen hatte Google bereits eine andere Sicherheitslücke in OS X öffentlich gemacht. Von Apple gibt es dazu bisher keine Reaktion. Es ist also unklar, ob oder wann die Fehler mit einem Patch korrigiert werden.

Zuvor hatte Google Sicherheitslücken in Windows öffentlich gemacht, worüber Microsoft sich verärgert zeigte. In drei Wochen waren es drei Windows-Sicherheitslücken, die durch Google bekannt wurden, bevor es einen Patch gab. Als die Details zur zweiten Sicherheitslücke veröffentlicht wurden, hatte Microsoft mit einem langen Blog-Beitrag dagegengehalten. Bei Google und Microsoft gibt es unterschiedliche Vorstellungen, wie mit gefundenen Sicherheitslücken umgegangen werden sollte.

Unterschiedliche Sicherheitspolitik

Google agiert im Rahmen von Project Zero nach der Richtlinie des Responsible Disclosure, wonach gefundene Sicherheitslücken innerhalb einer Frist geheim gehalten und dann veröffentlicht werden. Bei Google beträgt die Frist 90 Tage, danach werden alle Informationen dazu öffentlich gemacht.

Der Windows-Hersteller möchte hingegen, dass alle Firmen nach der Microsoft-Richtlinie Coordinated Vulnerability Disclosure handeln. Diese sieht vor, dass Sicherheitslücken generell erst dann öffentlich gemacht werden, wenn ein Patch zur Verfügung steht. Im Fall der zweiten Sicherheitslücke in Windows bat Microsoft Google, mit der Veröffentlichung der Sicherheitslücke zwei Tage zu warten, worauf Google jedoch nicht einging. Nach Aussage von Google gelten für alle Hersteller dieselben Regeln.

Offenes Sicherheitsloch im Flash-Player

Im aktuellen Flash-Player von Adobe steckt ein Sicherheitsloch, das aktiv ausgenutzt wird. In einem Security Advisory von Adobe weist der Hersteller darauf hin, dass der Fehler alle Windows-Systeme betrifft und rät zur Abschaltung des Flash Players. Die Fehler treten bei der Verwendung der Browser Internet Explorer und Firefox auf. Adobe will in der kommenden Woche einen Patch veröffentlichen, um den Fehler zu beseitigen.

Nachtrag vom 23. Januar 2015, 15:00 Uhr:

Der als Kafeine bekannte Virenforscher hat die Flash-Lücke ausführlich beschrieben. Sie lässt sich auch mit dem aktuellen Flash-Player 16.0.0.287 ausnutzen. Das Plugin sollte also unbedingt deaktiviert werden. Dafür spricht auch ein Blogeintrag von Trend Micro, wonach das Exploit-Kit Angler - das Kafeine ebenfalls erwähnt - die Lücke nutzt. Dem Antivirenhersteller zufolge war in den letzten Tagen eine stark erhöhte Aktivität der Angler-Server festzustellen.


eye home zur Startseite
AnDc 25. Jan 2015

Die Idee Sicherheitslücken zu sammeln, zuerst an die Hersteller weiterzuleiten und wenn...

spiderbit 24. Jan 2015

schau dir kodi an, kann das auch ab spielen... auch viele andere seiten, auch adult...

Netspy 24. Jan 2015

Natürlich ist es grob fahrlässig solche Sicherheitslücken ohne Ausnahmen zu...

Vanger 23. Jan 2015

Wer für Sicherheitslücken die gleichen Strukturen anwendet wie er das für nicht...

bernd71 23. Jan 2015

Da Apple ihn ausliefert schon. Apple kann natürlich Intel auffordern das zu korrigieren...



Anzeige

Stellenmarkt
  1. INCONY AG, Paderborn
  2. Detecon International GmbH, Köln, Frankfurt am Main
  3. Preh GmbH, Bad Neustadt (Saale)
  4. Energiedienst Holding AG, Rheinfelden (Baden) bei Lörrach


Anzeige
Blu-ray-Angebote
  1. (u. a. The Expendables 3 Extended 7,29€, Fight Club 6,56€, Predator 1-3 Collection 24,99€)
  2. (u. a. Homefront 7,97€, The Wave 6,97€, Lone Survivor 6,97€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  2. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  3. Sicherheit

    Operas Server wurden angegriffen

  4. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  5. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  6. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  7. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie

  8. Gigabit-Breitband

    Google Fiber soll Alphabet zu teuer sein

  9. Google-Steuer

    EU-Kommission plädiert für europäisches Leistungsschutzrecht

  10. Code-Gründer Thomas Bachem

    "Wir wollen weg vom Frontalunterricht"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
­Cybersyn: Chiles Traum von der computergesteuerten Planwirtschaft
­Cybersyn
Chiles Traum von der computergesteuerten Planwirtschaft
  1. Power9 IBMs 24-Kern-Chip kann 8 TByte RAM pro Sockel nutzen
  2. Princeton Piton Open-Source-Chip soll System mit 200.000 Kernen ermöglichen
  3. Adecco IBM will Helpdesk-Geschäft in Erfurt und Leipzig loswerden

Thinkpad X1 Carbon 2013 vs 2016: Drei Jahre, zwei Ultrabooks, eine Erkenntnis
Thinkpad X1 Carbon 2013 vs 2016
Drei Jahre, zwei Ultrabooks, eine Erkenntnis
  1. Huawei Matebook im Test Guter Laptop-Ersatz mit zu starker Konkurrenz
  2. iPad Pro Case Razer zeigt flache mechanische Switches
  3. Thinkpwn Lenovo warnt vor mysteriöser Bios-Schwachstelle

Asus PG248Q im Test: 180 Hertz erkannt, 180 Hertz gebannt
Asus PG248Q im Test
180 Hertz erkannt, 180 Hertz gebannt
  1. Raspberry Pi 3 Booten über USB oder per Ethernet
  2. Autonomes Fahren Mercedes stoppt Werbespot wegen überzogener Versprechen
  3. Radeon RX 480 Dank DX12 und Vulkan reicht auch eine Mittelklasse-CPU

  1. Re: Desktop-Android - Clickbait at it's best!

    Pjörn | 21:40

  2. Re: Was? Kann doch gar nicht sein.

    bombinho | 21:36

  3. Re: Bestellt

    Bla_GN | 21:36

  4. Re: Unterschied zu V7?

    Bla_GN | 21:34

  5. finde ich gut so

    triplekiller | 21:29


  1. 15:59

  2. 15:18

  3. 13:51

  4. 12:59

  5. 15:33

  6. 15:17

  7. 14:29

  8. 12:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel