94268

Apple wegen zaghafter Update-Praxis in der Kritik

30.07.2008 | 10:21 Uhr |

Im Gegensatz zu Microsoft und den Linux-Distributoren gibt es von Apple nach wie vor keinen Patch, der das Sicherheitsproblem im Domain Name Service (DNS) behebt.

Sicherheitsexperten und Analysten kritisieren, dass Apple sich Zeit damit lässt, ein Sicherheitsupdate für Mac OS X zu liefern, um die Sicherheitslücke im Domain Name Service zu schließen.

„Das macht keinen guten Eindruck“, erklärt der unabhängige Sicherheitsberater und frühere Gartner-Analyst Richard Mogull. „Wenn sie nicht bald reagieren, setzen sie Mac-OS-X-Nutzer einem unnötigen Risiko aus.“

Große Teile von Apples Betriebssystemen bestehen aus Open Source Code. Für die DNS-Server-Implementierung in OS X Server kommt das bekannte BIND (Berkeley Internet Name Domain) des Internet Systems Consortiums (ISC) zum Einsatz. Für BIND gibt es seit 8. Juli einen Patch, das Update für Mac OS X lässt bis heute auf sich warten.

Laut Dan Kaminsky, der den DNS-Bug im Februar entdeckt und dabei geholfen hat, alle wichtigen Hersteller für eine gemeinsame Patch-Offensive zu koordinieren, wurde Apple vor dem 8. Juli über die Sicherheitslücke informiert. „Wir haben Apple Bescheid gesagt“, sagt er, ohne allerdings ein bestimmtes Datum zu nennen.

Etwa einen Monat nach Entdeckung der DNS-Schwachstelle trafen sich wichtige Hersteller wie Cisco Systems und das ISC in der Microsoft-Zentrale in Redmond, um über die weitere Vorgehensweise zu beraten. „Damals ging es hauptsächlich um Firmen, die DNS-Code selbst entwickeln“, sagt Kaminsky. Unternehmen aus der zweiten Reihe, die fremden Server-Code in Umlauf bringen, hätten an dem Treffen bei Microsoft nicht teilgenommen. Dazu zählte auch Apple.

Die Forderungen nach einem Patch wurde letzte Woche lauter, als einige Details zu der Lücke bekannt und erste Angriffe gemeldet wurden.

Eine Stellungnahme von Apple, wann es über den DNS-Bug informiert wurde und wann mit einem Patch zu rechnen sei, gibt es nicht.

Kaminsky selbst geht mit dem Unternehmen wegen seines geringen Marktanteils nicht so streng ins Gericht. „Ich will Apple nicht zu nahe treten, aber es ist nun einmal Tatsache, dass nur wenige BIND auf OS X Server laufen haben. Und wer es hat, braucht sicher nicht Apples Hilfe für einen Patch“, erklärt er. „Wenn OS X auf Servern sehr populär wäre, würde ich mir mehr Sorgen machen.“

Was DNS angehe, sei Apple lediglich ein kleiner Fisch. „Wir haben da weit größere Sorgen“, sagt er und fügt hinzu, dass es wichtiger sei, sich auf Hersteller zu konzentrieren, deren DNS-Code eine größere Zahl an Nutzern betreffe.

Mogull stimmt ihm da zwar zu, wendet aber ein, dass es Nutzer von Mac OS X und insbesondere Mac OS X Server wohl anders sehen dürften. „Wenn alle meine Server mit OS X laufen, muss ich mir natürlich Gedanken machen. Für Mac-Nutzer ist das Thema relevant.“

Ähnlich sieht es auch Andrew Storms von nCircle Network Security. „Sicherlich betrifft die Sicherheitslücke in erster Linie Server, und Mac OS X spielt eher auf Client-Seite eine Rolle.“

Dennoch kritisieren sowohl Mogull als auch Storms, dass es von Apple bislang keine Sicherheitshinweise über den DNS-Bug gibt. „Mac-User dürften sich fragen, ob Apple überhaupt davon weiß“, sagt Storms. „Man hört von Apple ja keinen Ton. Weshalb bestätigen sie nicht kurz, dass sie die Schwachstelle kennen und in den nächsten 30 bis 60 Tagen einen Patch veröffentlichen? Die Angst vor dem Unbekannten schürt die Panik natürlich weiter“, erklärt er.

Mogull kritisiert Apples Sicherheitsstrategie denn auch nicht nur in diesem Fall, sondern im Allgemeinen. „Apple konnte es sich bislang leisten, nicht groß über Sicherheitsfragen nachzudenken. Solange Apple-Nutzer nicht zum Angriffsziel werden, ist das auch kein Problem. Aber das kann sich schnell ändern.“

Seiner Meinung nach solle Apple enger mit der Open-Source-Gemeinde zusammenarbeiten, die für den Code on Mac OS X verantwortlich sei, beispielsweise ISCs BIND. Das Unternehmen müsse seine Sicherheitsstrategie überdenken. „Apple muss sich den Sicherheitsfragen endlich stellen. Mac OS X ist zwar sehr gut, aber es wird künftig immer mehr zur Zielscheibe werden.“

Storms gewinnt dem bislang fehlenden Patch auch etwas Positives ab. Immerhin könne man nun vielleicht sehen, wie lange Apple für einen passenden Patch braucht. „Gehen wir einfach einmal davon aus, dass sie nichts von der Lücke wussten, bis Microsoft am 8. Juli gepatcht hat. Jetzt ist Angriffscode frei verfügbar. Wie schnell wird Apple mit einem passenden Patch darauf reagieren? Bei den meisten Patches ist es schwer zu sagen, wie der firmeninterne Update-Zyklus aussieht. Jetzt haben wir zum ersten Mal die Chance zu sehen, wie schnell sie eine Lösung präsentieren.“

Apple steht nicht zum ersten Mal für die Update-Häufigkeit der Open-Source-Elemente in seinem Betriebssystem in der Kritik. Im letzten Jahr erklärte Charlie Miller, Sicherheitsexperte von Independent Security Evaluator und bekannt für seine Arbeit zu Sicherheitslücken an Macs und dem iPhone, Apple handele nachlässig, weil es sich zu lange Zeit für notwendige Patches ließe. Erst kürzlich kritisierte er, dass Apple bis Juli gewartet habe, um ein Update für den iPhone-Browser zu veröffentlichen, obwohl Miller denselben Bug genutzt hatte, um auf einer Sicherheitskonferenz ein MacBook Air zu hacken.

„Sie sind bekannt dafür, nur sehr zögerlich Patches für ihren Open-Source-Code zu liefern“, sagt er.

0 Kommentare zu diesem Artikel
94268