Sicherheitslücken: Updates müssen schneller kommen

Wenn Sicherheitslücken bekannt werden, heißt es updaten. Oft dauert es aber zu lange, bis eine Aktualisierung überhaupt bereitsteht.

Ein IMHO von veröffentlicht am
Manchmal ist ein Sprint nötig, um Sicherheitsupdates zeitnah bereitzustellen.
Manchmal ist ein Sprint nötig, um Sicherheitsupdates zeitnah bereitzustellen. (Bild: tableatny, Wikimedia Commons/CC-BY 2.0)

Vor Kurzem veröffentlichte die Firma ZecOps Details über Sicherheitslücken in der Mail-Applikation von iPhones und iPads. Die Lücke ermöglicht es laut den Sicherheitsforschern, aktuelle iPhones ohne Nutzeraktion anzugreifen und dort Code auszuführen. Besonders brisant: Laut ZecOps wird die Lücke bereits aktiv ausgenutzt - und es gibt von Apple bisher noch kein offizielles Update.

Stellenmarkt
  1. Koordinator Vorgehensmodell- und Produkt-Compliance (m/w/d)
    Atruvia AG, Karlsruhe, München, Münster
  2. Requirements Engineer (w/m/d) Softwareentwicklung
    SSI SCHÄFER IT Solutions GmbH, Giebelstadt, Dortmund
Detailsuche

Inzwischen sind einige Zweifel an der Darstellung von ZecOps aufgetaucht. In einem Statement von Apple heißt es, dass man davon ausgehe, dass die Lücke keine Umgehung der Sicherheitsmechanismen des iOS-Betriebssystems erlaube. Dass die Lücke aktiv ausgenutzt wird, zweifelt Apple daher an. Dass die Sicherheitslücken bestehen, ist allerdings unstrittig, es handelt sich um typische Memory-Corruption-Lücken.

Im Zweifel lieber updaten - wenn es ein Update gibt

Für Nutzer ist das eine äußerst unbefriedigende Situation. Dass sich bei Sicherheitslücken manchmal schwer einschätzen lässt, wie kritisch sie sind, und dass es darüber unterschiedliche Ansichten gibt, ist nichts ungewöhnliches. Doch im Normalfall gibt es dafür aus Nutzersicht eine recht simple Lösung: Man installiert das Sicherheitsupdate einfach trotzdem - unabhängig davon, ob man einschätzen kann, wie gefährlich die Lücke wirklich ist.

Doch das ist im aktuellen Fall nicht so einfach. Denn in einem offiziellen Release ist der Fix bisher nicht enthalten, er steht bislang nur in einer Beta-Version bereit, die sich nicht ohne größere Umstände installieren lässt. Was daran bemerkenswert ist: Ähnliche Situationen gab es zuletzt mehrfach in unterschiedlichsten Softwareprodukten.

Golem Akademie
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    30.05.-03.06.2022, virtuell
Weitere IT-Trainings

Im März veröffentlichte Microsoft ein Sicherheitsadvisory für eine Lücke im Netzwerk-Dateisystem SMB, auch hier zunächst ohne Sicherheitsupdate. Details dazu wurden offenbar versehentlich veröffentlicht. In der Ankündigung schlug Microsoft verschiedene Gegenmaßnahmen vor, es war für Nutzer allerdings schwer ersichtlich, welche davon genau welches Szenario abwehren und was danach möglicherweise nicht mehr funktioniert.

Das "Shitrix"-Desaster - Wochen bis zum Patch

Im Januar kam es zu massenhaften Angriffen auf Geräte der Firma Citrix, nachdem erste Exploits für eine sehr kritische Sicherheitslücke auftauchten. Bekannt war diese Lücke zu dem Zeitpunkt bereits seit Mitte Dezember, aber Citrix hatte noch kein Update bereitgestellt. Die Gegenmaßnahmen von Citrix erforderten vergleichsweise umständliche Konfigurationsänderungen.

In vielen Fällen werden Sicherheitslücken von Personen gefunden, die keine bösen Absichten haben und die diese Lücken an die Hersteller melden. Im Idealfall einigen sich der Finder und der Hersteller auf einen Termin, an dem Informationen über die Lücke bekannt gegeben werden. Der Hersteller kann sich darauf vorbereiten und in Ruhe rechtzeitig ein Update bereitstellen.

Doch dieses geordnete Szenario funktioniert nicht immer, manchmal laufen Dinge chaotischer ab. Details über Lücken können absichtlich oder unabsichtlich geleakt werden. Manchmal werden Informationen über Lücken einfach online veröffentlicht, ohne den Hersteller vorher zu informieren. Es kann widersprüchliche Informationen über Angriffe geben. Und es kann vorkommen, dass Lücken entdeckt werden, weil sie bereits aktiv angegriffen werden und jemand die Angriffe analysiert hat.

Geschwindigkeit zählt

In all diesen Fällen ist es notwendig, dass Updates so schnell wie möglich beim Nutzer ankommen. Im Idealfall sollte sich die Reaktionszeit hier in Stunden und nicht in Tagen oder gar Wochen messen.

Das ist für Hersteller natürlich eine Herausforderung. Für die Geschwindigkeit sind zwei Dinge relevant: Wie schnell stehen Updates bereit und wie schnell werden sie beim Nutzer installiert? Einfachere und in vielen Fällen automatische Updates sorgen dafür, dass Nutzer die Aktualisierungen inzwischen in vielen, aber leider längst nicht in allen Fällen schnell erhalten.

Doch Hersteller müssen auch einen stärkeren Fokus auf den ersten Teil legen: Updates müssen, wenn es notwendig ist, extrem schnell bereitgestellt werden. Das ist natürlich nicht immer einfach. Updates können unerwartete Bugs verursachen und müssen getestet werden. Beim Testen müssen die Hersteller überall, wo es geht, auf Automatisierung setzen.

Es geht: Update am nächsten Tag

Dass schnelle Reaktionen auch bei komplexen Softwareprojekten möglich sind, hat zuletzt Mozilla gezeigt: Die chinesische Firma Qihoo360 meldete am 7. Januar eine kritische Sicherheitslücke an den Browserhersteller, die in aktiven Angriffen identifiziert wurde. Mozilla veröffentlichte das Update am 8. Januar, nur einen Tag später.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


norbertgriese 30. Apr 2020

Da wird doch derjenige, der am meisten zahlt, bestimmen, was gemacht wird. Updates kann...

DAASSI 30. Apr 2020

Sehe ich auch so. Man muss das konkrete Problem erstmal analysieren und testen. Zu...



Aktuell auf der Startseite von Golem.de
LG HU915QE
Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung

LG hat einen Kurzdistanzprojektor mit Lasertechnik vorgestellt. Der HU915QE erzeugt ein riesiges Bild und steht dabei fast an der Wand.

LG HU915QE: Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung
Artikel
  1. Verkaufsstart des 9-Euro-Tickets: Was Fahrgäste wissen müssen
    Verkaufsstart des 9-Euro-Tickets
    Was Fahrgäste wissen müssen

    Das 9-Euro-Ticket für den ÖPNV ist beschlossene Sache, Verkehrsverbünde und -unternehmen sehen sich auf den Verkaufsstart in diesen Tagen gut vorbereitet. Doch es gibt viele offene Fragen.

  2. Sexualisierte Gewalt gegen Kinder: Bundesinnenministerin Faeser ändert Ansicht zu Chatkontrolle
    Sexualisierte Gewalt gegen Kinder
    Bundesinnenministerin Faeser ändert Ansicht zu Chatkontrolle

    Ursprünglich hat die Sozialdemokratin die geplante EU-Überwachung des Internets befürwortet. Nun sagt sie etwas anderes zur Chatkontrolle.

  3. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer Predator X38S (UWQHD, 175 Hz OC) 1.499€ • MindStar (u. a. AMD Ryzen 7 5700X 268€ und PowerColor RX 6750 XT Red Devil 609€ und RX 6900 XT Red Devil Ultimate 949€) • Alternate (u. a. Cooler Master Caliber R1 159,89€) • SanDisk Portable SSD 1 TB 81€ • Motorola Moto G60s 149€ [Werbung]
    •  /