Offene Sicherheitslücke beim Mac: Apple bisher tatenlos

Holger Eilhard 1

Immer wieder finden die Sicherheitsforscher von Google, die Teil des sogenannten Project Zero sind, Sicherheitslücken in den Tiefen von iOS und macOS. Details zu einer dieser Lücken wurden nun von Google veröffentlicht, ohne dass Apple einen entsprechenden Patch anbietet.

Frist für Apple abgelaufen: Google veröffentlicht Details zu macOS-Sicherheitslücke

Die Forscher von Googles Project Zero hatten die Lücke bereits Ende November (via 9to5Google) bei Apple gemeldet, womit die bei Google übliche 90-Tages-Frist bis zur Veröffentlichung begann. Der gemeldete Fehler im XNU-Kernel von macOS könnte sich dazu nutzen lassen, um sich höhere Rechte an einem Mac verschaffen zu können. Teil der nun veröffentlichten Sicherheitslücke ist auch ein Beispielcode, der den Fehler demonstrieren soll. Google stuft die Schwere der Lücke als „hoch“ ein.

Apple soll das Problem zwar erkannt haben, arbeitet aber noch weiterhin an einem Update. Da Apple innerhalb der Frist nun tatenlos blieb, bleibt die bekannte Sicherheitslücke damit derzeit ungepatcht. Das Update könnte möglicherweise als Bestandteil von macOS Mojave 10.14.4 ausgeliefert werden, welches sich derzeit in der Betaphase befindet. Zuletzt wurde am Montag, dem 4. März die vierte Vorabversion veröffentlicht.

Wie heise berichtet, gab es in der Vergangenheit aber bereits des Öfteren Kritik an Googles 90-Tages-Frist. Apple ist nicht das einzige Unternehmen, das von einer zu frühen Veröffentlichung betroffen war. In der Vergangenheit traf es auch Microsofts Windows 10. Die Bitte um eine Verlängerung der Frist lehnten die Forscher damals ab.

Hier sind noch einige andere „Apple Fails“, darunter auch eine gravierende Sicherheitslücke in macOS High Sierra:

Bilderstrecke starten(22 Bilder)
Die 21 größten Apple-Fails

Apple in der Kritik: Kein Bug-Bounty-Programm für macOS-Lücken

Aber auch Apple ist aufgrund der Behandlung von Sicherheitslücken, speziell im Fall von macOS in der Kritik. So gab es erst Anfang Februar einen aktuellen Fall aufgrund einer Sicherheitslücke im Schlüsselbund von macOS. Hier weigerte sich der Forscher Linus Henze zunächst, die Details an das Unternehmen aus Cupertino zu übermitteln.

Als Grund nannte er das Fehlen eines Bug-Bounty-Programms für macOS. Im Gegensatz zu Lücken in iOS bezahlt Apple die Forscher nicht, wenn sie Sicherheitsprobleme in macOS finden und diese beim Hersteller melden.

Am 28. Februar gab Henze aber bekannt, dass er die Lücke nun doch „ehrenamtlich“ bei Apple gemeldet hat. Die Bitte um eine Erklärung, warum das Unternehmen kein Bug-Bounty-Programm für macOS-Lücken anbietet, bleibt jedoch weiterhin unbeantwortet.

Zu den Kommentaren

Kommentare zu dieser News

* Werbung