Sicherheitslücken: Updates müssen schneller kommen

Wenn Sicherheitslücken bekannt werden, heißt es updaten. Oft dauert es aber zu lange, bis eine Aktualisierung überhaupt bereitsteht.

Ein IMHO von veröffentlicht am
Manchmal ist ein Sprint nötig, um Sicherheitsupdates zeitnah bereitzustellen.
Manchmal ist ein Sprint nötig, um Sicherheitsupdates zeitnah bereitzustellen. (Bild: tableatny, Wikimedia Commons/CC-BY 2.0)

Vor Kurzem veröffentlichte die Firma ZecOps Details über Sicherheitslücken in der Mail-Applikation von iPhones und iPads. Die Lücke ermöglicht es laut den Sicherheitsforschern, aktuelle iPhones ohne Nutzeraktion anzugreifen und dort Code auszuführen. Besonders brisant: Laut ZecOps wird die Lücke bereits aktiv ausgenutzt - und es gibt von Apple bisher noch kein offizielles Update.

Stellenmarkt
  1. Consultant Automotive SPICE (m/w/d)
    Prozesswerk GmbH, München
  2. Anwendungsexperte (w/m/d) Dokumentenmanagement
    BEITEN BURKHARDT Rechtsanwaltsgesellschaft mbH, verschiedene Standorte
Detailsuche

Inzwischen sind einige Zweifel an der Darstellung von ZecOps aufgetaucht. In einem Statement von Apple heißt es, dass man davon ausgehe, dass die Lücke keine Umgehung der Sicherheitsmechanismen des iOS-Betriebssystems erlaube. Dass die Lücke aktiv ausgenutzt wird, zweifelt Apple daher an. Dass die Sicherheitslücken bestehen, ist allerdings unstrittig, es handelt sich um typische Memory-Corruption-Lücken.

Im Zweifel lieber updaten - wenn es ein Update gibt

Für Nutzer ist das eine äußerst unbefriedigende Situation. Dass sich bei Sicherheitslücken manchmal schwer einschätzen lässt, wie kritisch sie sind, und dass es darüber unterschiedliche Ansichten gibt, ist nichts ungewöhnliches. Doch im Normalfall gibt es dafür aus Nutzersicht eine recht simple Lösung: Man installiert das Sicherheitsupdate einfach trotzdem - unabhängig davon, ob man einschätzen kann, wie gefährlich die Lücke wirklich ist.

Doch das ist im aktuellen Fall nicht so einfach. Denn in einem offiziellen Release ist der Fix bisher nicht enthalten, er steht bislang nur in einer Beta-Version bereit, die sich nicht ohne größere Umstände installieren lässt. Was daran bemerkenswert ist: Ähnliche Situationen gab es zuletzt mehrfach in unterschiedlichsten Softwareprodukten.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Im März veröffentlichte Microsoft ein Sicherheitsadvisory für eine Lücke im Netzwerk-Dateisystem SMB, auch hier zunächst ohne Sicherheitsupdate. Details dazu wurden offenbar versehentlich veröffentlicht. In der Ankündigung schlug Microsoft verschiedene Gegenmaßnahmen vor, es war für Nutzer allerdings schwer ersichtlich, welche davon genau welches Szenario abwehren und was danach möglicherweise nicht mehr funktioniert.

Das "Shitrix"-Desaster - Wochen bis zum Patch

Im Januar kam es zu massenhaften Angriffen auf Geräte der Firma Citrix, nachdem erste Exploits für eine sehr kritische Sicherheitslücke auftauchten. Bekannt war diese Lücke zu dem Zeitpunkt bereits seit Mitte Dezember, aber Citrix hatte noch kein Update bereitgestellt. Die Gegenmaßnahmen von Citrix erforderten vergleichsweise umständliche Konfigurationsänderungen.

In vielen Fällen werden Sicherheitslücken von Personen gefunden, die keine bösen Absichten haben und die diese Lücken an die Hersteller melden. Im Idealfall einigen sich der Finder und der Hersteller auf einen Termin, an dem Informationen über die Lücke bekannt gegeben werden. Der Hersteller kann sich darauf vorbereiten und in Ruhe rechtzeitig ein Update bereitstellen.

Doch dieses geordnete Szenario funktioniert nicht immer, manchmal laufen Dinge chaotischer ab. Details über Lücken können absichtlich oder unabsichtlich geleakt werden. Manchmal werden Informationen über Lücken einfach online veröffentlicht, ohne den Hersteller vorher zu informieren. Es kann widersprüchliche Informationen über Angriffe geben. Und es kann vorkommen, dass Lücken entdeckt werden, weil sie bereits aktiv angegriffen werden und jemand die Angriffe analysiert hat.

Geschwindigkeit zählt

In all diesen Fällen ist es notwendig, dass Updates so schnell wie möglich beim Nutzer ankommen. Im Idealfall sollte sich die Reaktionszeit hier in Stunden und nicht in Tagen oder gar Wochen messen.

Das ist für Hersteller natürlich eine Herausforderung. Für die Geschwindigkeit sind zwei Dinge relevant: Wie schnell stehen Updates bereit und wie schnell werden sie beim Nutzer installiert? Einfachere und in vielen Fällen automatische Updates sorgen dafür, dass Nutzer die Aktualisierungen inzwischen in vielen, aber leider längst nicht in allen Fällen schnell erhalten.

Doch Hersteller müssen auch einen stärkeren Fokus auf den ersten Teil legen: Updates müssen, wenn es notwendig ist, extrem schnell bereitgestellt werden. Das ist natürlich nicht immer einfach. Updates können unerwartete Bugs verursachen und müssen getestet werden. Beim Testen müssen die Hersteller überall, wo es geht, auf Automatisierung setzen.

Es geht: Update am nächsten Tag

Dass schnelle Reaktionen auch bei komplexen Softwareprojekten möglich sind, hat zuletzt Mozilla gezeigt: Die chinesische Firma Qihoo360 meldete am 7. Januar eine kritische Sicherheitslücke an den Browserhersteller, die in aktiven Angriffen identifiziert wurde. Mozilla veröffentlichte das Update am 8. Januar, nur einen Tag später.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Sea of Thieves
Rund zehn Stunden Abenteuer unter der Piratenflagge

Die solo spielbare Kampagne Sea of Thieves: A Pirate's Life schickt Freibeuter in den Fluch der Karibik mit Jack Sparrow und Davy Jones.
Von Peter Steinlechner

Sea of Thieves: Rund zehn Stunden Abenteuer unter der Piratenflagge
Artikel
  1. PC-Hardware: Grafikkarten werden günstiger und besser verfügbar
    PC-Hardware
    Grafikkarten werden günstiger und besser verfügbar

    Die Preise für Grafikkarten sind zuletzt gesunken, es gibt mehr Pixelbeschleuniger auf Lager. Das hat mehrere Gründe.

  2. Prime Day 2021 bei Amazon - das sind die Highlights
     
    Prime Day 2021 bei Amazon - das sind die Highlights

    Lange haben wir gewartet, jetzt ist es so weit: Der Prime Day 2021 ist gestartet und bietet millionenfache Angebote aus allen Kategorien.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Razer Blade 14 im Test: Der dreifach einzigartige Ryzen-Laptop
    Razer Blade 14 im Test
    Der dreifach einzigartige Ryzen-Laptop

    Kompakter und flotter: Das Razer Blade 14 soll die Stärken des Urmodells mit der Performance aktueller Hardware vereinen - mit Erfolg.
    Ein Test von Marc Sauter

norbertgriese 30. Apr 2020

Da wird doch derjenige, der am meisten zahlt, bestimmen, was gemacht wird. Updates kann...

DAASSI 30. Apr 2020

Sehe ich auch so. Man muss das konkrete Problem erstmal analysieren und testen. Zu...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Creative SB Z 69,99€ • SanDisk microSDXC 400 GB 39€ • Battlefield 4 Premium PC Code 7,49€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals [Werbung]
    •  /