922751

Phil Schiller über Mac-OS X und Sicherheit

04.06.2004 | 12:38 Uhr |

In einem Artikel über Mac-OS X und Sicherheit auf Cnet hat Phil Schiller, Apples Senior Vizepräsident, zu den in den letzten Wochen heiß diskutierten URL/URI-Sicherheitslücken in Mac-OS X und zur Behandlung von Sicherheitslücken im Allgemeinen Stellung genommen.

In dem Beitrag steht Apple nicht etwa wegen mangelnder Patch-Bereitschaft in der Kritik, schlechte Noten bekommt der Mac-Hersteller viel mehr was Stellungnahmen zu Sicherheitslücken und den Dialog darüber angeht. User und Sicherheits-Experten bemängeln immer wieder, dass Apple überhaupt nicht reagiert, wenn ein findiger "White-Hat"-Hacker eine Lücke entdeckt und davon Cupertino - und später die Öffentlichkeit - informiert. Erst bei Verfügbarkeit eines entsprechenden Patches ist Apple bereit, zu der Angelegenheit Stellung zu nehmen.
Da das Schließen solcher Lücken - wie etwa der momentanen URL/URI-Lücke - länger dauern kann, wenn das Problem sehr tief im System sitzt, kann es durchaus passieren, dass einige Wochen oder gar Monate kein Sterbenswörtchen von Apple zu hören ist. Diese Politik ist bisher Apples Leitlinie, wie hier sogar offiziell zu lesen ist:

"Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind."

Auch in die Kritik geraten sind einige stark euphemistische Umschreibungen der Updates, die Sicherheits-Experten von @Stake nennen etwa die von ihnen als sehr bedenklich eingestufte Appletalk-File-Sharing-Sicherheitslücke, deren Patch Anfang Mai von Apple mit "verbessert die Handhabung langer Passwörter" umschrieben wurde. Die Schönmalerei der Soft- und Hardwarehersteller bei Problemen gerät immer wieder in die Kritik, weil sie die Ausmaße einer Sicherheitslücke und damit die Dringlichkeit, das Problem zu beheben, verschleiert. Zu den genannten Vorwürfen nimmt Schiller Stellung: "Dies ist sicher Kritik, die wir annehmen werden. Wenn die Leute denken, dass wir einiges davon gegenüber der Öffentlichkeit besser kommunizieren könnten, dann werden wir das tun." Apple, so Schiller, habe einige Lektionen bei diesem Vorfall gelernt.

Schiller und andere betonen, dass der Mac trotzdem einem viel geringeren Sicherheitsrisiko ausgesetzt sei, da die meisten potenziellen Lücken schon vor effektivem Missbrauch gepatcht worden seien. Schiller weist darauf hin, dass Apple seit Veröffentlichung von Mac-OS X 138 Sicherheitslücken in 43 Updates behoben habe, von denen nur eine Lücke wirklich kritisch gewesen sei. Für Windows XP gab es Schiller zufolge 77 Updates im selben Zeitraum, die Hälfte davon kritisch.

Michael Junkroski, ein IT-Consultant aus Florida unterstützt Schillers Aussagen mit dem Hinweis, dass 55 000 Viren für Windows existierten und keiner für Mac-OS X. "In der Theorie wurden einige Sicherheitslücken entdeckt, in der Praxis ist aber nichts passiert".

Gerade weil nun zum ersten Mal seit Einführung von Mac-OS X eine kritische Sicherheitslücke aufgetreten sei, würde Apple momentan genau beobachtet, so Schiller. Die URL/URI-Lücke ist Schiller zufolge bisher nur teilweise behoben, da das Problem sehr komplex sei. Apple arbeite momentan intensiv daran, die Lücke vollständig zu schließen und es würden in nächster Zeit weitere Sicherheitsupdates diesbezüglich folgen.

Auch zu Patches für ältere Mac-OS X-Versionen nimmt Schiller Stellung: Je nachdem, wie schwerwiegend ein Bug sei und wie aufwendig seine Korrektur, entscheide Apple, ob es Patches für ältere Mac-OS X-Versionen veröffentliche oder nicht. Die Gründung einer eigenen Abteilung, die sich nur um Sicherheitslücken kümmert - wie das etwa bei Microsoft der Fall ist - hält Schiller für keine gute Idee, er sieht die Verantwortung bei den Entwicklern selbst: "Jeder, der an Software arbeitet, arbeitet auch an der Sicherheit auf die eine oder andere Weise"

Info Cnet Artikel

0 Kommentare zu diesem Artikel
922751