Nach Microsoft folgt Apple: Google enthüllt Sicherheitslücke in OS X

Nach Microsoft ist jetzt Apple dran: Google hat nach Ablauf einer Schutzfrist von 90 Tagen eine Sicherheitslücke in OS X öffentlich gemacht. Wann es von Apple einen Patch geben wird, ist nicht bekannt.

Artikel veröffentlicht am ,
Google meldet Sicherheitsloch in Apples OS X.
Google meldet Sicherheitsloch in Apples OS X. (Bild: Justin Sullivan/Getty Images)

Google hat vor 90 Tagen eine Sicherheitslücke in OS X entdeckt und den Fehler an Apple gemeldet. Nach Ablauf dieser Schutzfrist veröffentlicht Google jetzt den Fehler. Bisher hat Apple nicht darauf reagiert, und es gibt keinen Patch. Der Fehler wurde für OS X 10.9.5 bestätigt, in OS X 10.10 alias Yosemite ist er weniger schwerwiegend. Wie üblich bei Google wurde der Fehler mit passendem Exploit-Code veröffentlicht, um das Sicherheitsloch zu belegen.

Fehler umgeht Sandbox

Stellenmarkt
  1. Junior Consultant (m/w/d) Internationale Warensteuerung
    Lidl Digital, Neckarsulm
  2. (Junior-) Consultant - Tarifdatenarchitekt und ÖPNV-Vertriebssysteme (m/w/d)
    Rhein-Main-Verkehrsverbund Servicegesellschaft mbH, Frankfurt am Main, Dresden, Berlin
Detailsuche

Der Fehler in OS X 10.9.5 betrifft den System-Daemon Networkd, der eigentlich in einer Sandbox läuft. Auf Networkd können andere Komponenten des Betriebssystems zugreifen. Das Sicherheitsleck erlaubt es, dass Angreifer etwa über den Safari-Browser oder den Zeit-Daemon ntpd Programmcode ausführen können, indem die Sandbox umgangen wird. Dabei läuft Networkd nicht mit allen Systemrechten, so dass die Sicherheitslücke nur mit den Rechten des System-Daemon ausgenutzt werden kann.

Der Fehler in Networkd soll in OS X 10.10 weniger ausgeprägt sein, weil Apple den Dienst besser abgesichert hat. Derzeit ist nicht bekannt, wann Apple einen Patch für das Sicherheitsloch veröffentlicht.

Google meldete drei Windows-Fehler in drei Wochen

Google hatte kürzlich bereits Details zu einer dritten Sicherheitslücke in Windows veröffentlicht, bevor es einen Patch gab. In drei Wochen war es der dritte Fall. Als die Details zur zweiten Sicherheitslücke veröffentlicht wurden, hatte Microsoft mit einem langen Blog-Beitrag dagegengehalten. Zwischen Google und Microsoft gibt es unterschiedliche Vorstellungen, wie mit gefundenen Sicherheitslücken umgegangen werden sollte.

Golem Karrierewelt
  1. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    27./28.09.2022, Virtuell
  2. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    21.-23.11.2022, Virtuell
Weitere IT-Trainings

Google agiert nach der Richtlinie des Responsible Disclosure, wonach gefundene Sicherheitslücken innerhalb einer Frist geheim gehalten und dann veröffentlicht werden. Bei Google beträgt die Frist 90 Tage, danach werden alle Informationen dazu öffentlich gemacht.

Der Windows-Hersteller möchte hingegen, dass alle Firmen nach der von Microsoft erdachten Richtlinie Coordinated Vulnerability Disclosure handeln. Diese sieht vor, dass Sicherheitslücken generell erst dann öffentlich gemacht werden, wenn ein Patch zur Verfügung steht. Im Fall der zweiten Sicherheitslücke in Windows bat Microsoft Google, mit der Veröffentlichung der Sicherheitslücke zwei Tage zu warten, worauf Google jedoch nicht einging. Nach Aussage von Google gelten für alle Hersteller dieselben Regeln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anonymer Nutzer 22. Jan 2015

Erstens: Die Diskussion wird aber auch nicht vorangebracht, wenn Du mehr Ausrufezeichen...

Dwalinn 22. Jan 2015

Das wollte ich eigentlich auch gerade schreiben... nur das ich mit Win XP gekommen...

plutoniumsulfat 22. Jan 2015

Wenn Google auch schon kostenlos Fehler sucht, ergibt das irgendwie keinen Sinn.

AIM-9 Sidewinder 22. Jan 2015

Ja, Enterprise-Kunden finden es überhaupt nicht lustig, wenn Sicherheitslücken...



Aktuell auf der Startseite von Golem.de
Kabelnetz
Vodafone setzt neuartige Antennendosen ein

Ohne Radioport kommt die neue Antennendose und ist damit schon für DOCSIS 4.0 vorbereitet. Doch sie soll bereits jetzt Vorteile für Vodafone-Kunden bringen.

Kabelnetz: Vodafone setzt neuartige Antennendosen ein
Artikel
  1. Bundesnetzagentur: Streit um Preis fürs Recht auf Internet entbrannt
    Bundesnetzagentur
    Streit um Preis fürs Recht auf Internet entbrannt

    Das Recht auf Versorgung mit Internet braucht einen Preis. Ein Vorschlag der Bundesnetzagentur, diesen zu ermitteln, stößt auf Kritik der Betreiber.

  2. Hybridmagnet: Chinesische Forscher erzeugen Rekord-Magnetfeld
    Hybridmagnet
    Chinesische Forscher erzeugen Rekord-Magnetfeld

    Mit einem Hybridmagneten hat ein Team in China einen Rekord aus den USA für das stärkste stabile Magnetfeld überboten.

  3. Clop: Ransomwaregruppe erpresst scheinbar falsches Wasserwerk
    Clop
    Ransomwaregruppe erpresst scheinbar falsches Wasserwerk

    Eine Ransomwaregruppe hat sich nach einem Hack eines Wasserversorgungsunternehmens in Großbritannien offenbar vertan und ein anderes Werk erpresst.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Zotac RTX 3080 12GB 829€, Mac mini 16GB 1.047,26€, Samsung SSD 1TB/2TB (PS5) 111€/199,99€ • MindStar (Sapphire RX 6900XT 939€, G.Skill DDR4-3200 32GB 98€) • PS5 bestellbar • Games für PS5/PS4 bis 84% günstiger • Bester 2.000€-Gaming-PC[Werbung]
    •  /