Sicherheitsforscher: Apple ignoriert Warnungen

Ein Proof-of-Concept für eine XSS-Lücke im Apple Store liegt seit 12. Mai vor. Über eine Bestätigung hinaus hat Apple nichts unternommen. Ein Microsoft-Experte merkt an: "Viele andere Firmen würden Sie dafür bezahlen, wenn Sie Lücken wie diese finden."

Ein deutscher Sicherheitsforscher hat sich auf der Full-Disclosure-Mailingliste bei Seclists.org beschwert, weil Apple einen ihm zugegangenen Hinweis zu einer Cross-Site-Scripting-Lücke seit einem Monat ignoriert. Der Fehler finde sich weiter auf einer Apple-Store-Seite, schreibt Stefan Schurtz.

Apple

Schurtz verständigte Apple in einer Mail vom 12. Mai und erhielt am Folgetag eine Eingangsbestätigung. Zuvor hatte er die Anfälligkeit mit Internet Expolrer 8 und 10 sowie Google Chrome 27 getestet. Am 29. Mai hakte er noch einmal nach, was auch beantwortet wurde. Nach Wochen, in denen nichts passierte, hat er sich jetzt entschieden, die Anfälligkeit öffentlich zu machen.

Das Proof-of-Concept des Sicherheitsspezialisten basiert auf dem Document Object Model (DOM). Es versucht, clientseitigen Javascript-Code im Browser eines Besuchers auszuführen. So könnten Cookies entführt und auch Konten übernommen werden, falls der Anwender eingeloggt ist. Ein Beispiel des Web Application Security Consortium führt dies im Detail aus.

Apple wurde schon früher für seine oft langsame Reaktion auf Sicherheitshinweise gerügt. Auch im Fall des Trojaners Flashback zögerte es lange, und viele seiner Kritiker fordern ein Belohnungsprogramm, wie Google oder Facebook sie aufgesetzt haben. Dies würde Sicherheitsforscher ermutigen, Apple auf Lücken hinzuweisen – ist aber sinnlos, wenn Apple die Bereitschaft fehlt, eingehende Hinweise auch zu bearbeiten.

Gegenüber TechWeek sagte Microsoft Most Valuable Professional Troy Hunt: „Viele andere Firmen würden Sie dafür bezahlen, wenn Sie Lücken wie diese finden, und das Problem sofort aus der Welt schaffen.“ Er halte aber ein Prämienprogramm für „unvereinbar mit Apples Ethos der Geheimhaltung“. Manchmal sei es schwer, Firmen etwas zu kommunizieren, was eigentlich in ihrem eigenen Interesse liege.

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Apple, Webentwicklung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Sicherheitsforscher: Apple ignoriert Warnungen

Kommentar hinzufügen
  • Am 12. Juni 2013 um 16:29 von Chris

    Ich schlage mich schon seit Anbeginn von DOS 1.0 mit Microsoft herum. Was Geheimhaltung, feindliche Übernahmen, Verhinderung freier Software, Intrigen, Diebstahl geistigen Eigentums etc. angeht, ist Microsoft wohl nicht zu toppen. Wenn man sich ansieht, wie viele Sicherheitslücken und funktionale Patche und Fixe Microsoft in den letzten Jahrzehnten ausgebracht hat, muss man sich doch fragen, ob es Microsoft irgendwann mal schaffen wird, Software auf den Markt zu bringen, die halbwegs fehlerfrei und sicher ist. Bis dahin bleibe ich bei meinen Apple und Ubuntu Installationen. Auf diesen Systemen, die ich seit Jahrzehnten ausschließlich privat benutze, hat sich noch nie einen Virus oder Trojaner eingeschlichen.

    • Am 12. Juni 2013 um 17:50 von Ikarus

      Meine Windowsrechner haben in den letzten 15 Jahren auch noch kein Virus oder Trojaner, der irgenwas anrichten konnte gesehen. Und nun? Ich schütze aber auch meine Systeme… ja, das geht. Wenn das Apple OS so sicher wäre, müssten nicht permanent Sicherheitslücken gestopft werden – sehen Sie sich mal die Aufzählungen ihrer ständigen Updates an…
      Der einzige Grund, warum das Apple OS bisher kaum angegriffen wurde ist lediglich der Verbreitungsgrad und die Tatsache, dass der Großteil der Macs bisher im Unternehmensumfeld genutzt wurden wo es noch schwerer ist anzugreifen. Mit der Lifestyle Verbreitung wird auch die Zahl der Angriffe steigen. Und dann? Schimpfen Sie dann auf den unfähigen Haufen aus Cupertino, die nicht in Lage sind ein einigermaßen sicheres und stabiles OS nach fast 40 Jahren zu entwickeln?
      Wenn Apple ihr OSX nicht dicht macht wie iOS, und sie noch ein wenig an Marktanteilen zulegen, wird genau das passieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *