Kommentar: Month of Apple Bugs

ml, den 2. Februar 2007
Kommentar
Kommentar

Der umstrittene Month of Apple Bugs ist vorüber, auch wenn sich die beiden Initiatoren Lance M. Havok und Kevin Finisterre noch eine Lücke aufgehoben haben. Abseits aller Querelen und kontroverser Diskussionen stellt sich aber für jeden Mac-Anwender die Frage, wie sicher das geliebte Mac OS X ist.

Die Berichterstattung in den Mac-Medien über das Projekt war relativ dünn. Deshalb beschlich viele das Gefühl, dass das Projekt hinter seinen großen Ankündigungen zurückblieb und eher um Aufmerksamkeit für sich als für die Sicherheitsproblematik besorgt war. Dennoch, die aufgezeigten Schwachstellen sollten jeden Mac-Anwender aufhorchen lassen, und Fragen nach der Sicherheit von Mac OS X zukünftig nicht mehr einfach abtun.

Wie sicher ist Mac OS X?

Wie angekündigt wurde jeden Tag eine Lücke in Mac OS X oder einer Mac-Anwendung samt Anleitung, wie sie sich ausnutzen lässt, präsentiert. Die Kritik einiger Anwender, dass der Schadcode nur mit Anwenderrechten ausgeführt wird und damit eher harmlos sei, ist kurzsichtig und beruhigt nicht. Denn damit lassen sich z. B. Dokumente löschen oder der Mac in einen Spam-Server verwandeln. Zudem wurden etliche Schwachstellen präsentiert, mit denen sich die Rechte auf einem System problemlos auf Root-Ebene erweitern ließen.

An dieser Stelle muss sich Apple fragen lassen, inwiefern die Sicherheit bei der Entwicklung von Mac OS X zu den Design-Zielen gehört. Etliche Sicherheitsprobleme bei der Rechtevergabe sind von anderen Betriebssystem bekannt und finden sich schon seit Jahren dort nur noch selten. Dass Apple solche elementaren Fehler macht, überrascht.

Kritik

Das MoAB-Projekt muss sich vorhalten lassen, dass sie gegen ein ungeschriebenes Gesetz der Softwareindustrie „verstoßen“ haben. Normalerweise informiert der Finder einer Sicherheitslücke zunächst den Hersteller und gibt ihm so Zeit, dass Problem zu beheben, bevor damit an die Öffentlichkeit gegangen wird. Hier lief es genau anders herum und es wurden zudem die passenden Werkzeuge für das Ausnutzen der Schwachstellen veröffentlicht.

Jenseits des guten Geschmacks war die Schaltung von pornographischen Inhalten als Platzhalter für noch unveröffentlichte Fehlerberichte. Die zum Fehler in iChat bzw. Bonjour gehörende Meldung, beinhaltete ein sogenanntes „Osterei“, das im Quelltext mit folgenden Worten kommentiert war:

„Never use the MacBook at bed again when browsing the MoAB or you will fry your balls, looper.“ (MoAB)

Nicht zuletzt durch solch kindisches Auftreten, war das Projekt umstritten und wurde vorwiegend negativ wahrgenommen.

Reaktion

Apple hat sich bisher auffallend stark zurückgehalten und nur für eine Lücke in QuickTime ein Update veröffentlicht. Für alle anderen Schwachstellen z. B. bei der Verarbeitung von DMG-Dateien, oder in iChat, gibt es bisher keine Lösungen von Apple. Die Anwender wurden nicht einmal über die Probleme unterrichtet, wie es bei anderen großen Unternehmen mittlerweile üblich ist. Apple muss zukünftig an seiner Informationspolitik arbeiten!

Zumindest eine Gruppe um den ehemaligen Apple-Ingenieur Landon Fuller versuchte für jede vorgestellte Lücke entweder einen Patch oder einen Workaround bereitzustellen. Damit haben sie demonstriert, dass sich selbst in sehr kurzer Zeit Lösungen finden lassen. Davon kann sich Apple eine Scheibe abschneiden.

Fazit

Bei aller Kritik an der Umsetzung des Projekts „Month of Apple Bugs“, so hat es doch dazu geführt, dass das Thema Sicherheit in Mac-Kreisen zukünftig kritischer diskutiert wird. Havok und Finisterre haben gezeigt, dass sich ein Mac relativ einfach übernehmen lässt.

Trotzdem ist in naher Zukunft nicht mit einer großen Angriffswelle auf OS-X-Systeme zu rechnen. Dafür ist die Verbreitung des Macs nach wie vor zu gering. Apple sollte sich allerdings schnell die Lücken und konzeptionellen Fehler auf die Agenda setzen und mit zukünftigen Updates beseitigen. Sonst hätte der MoAB sein Ziel verfehlt – Schuld wäre dann aber Apple.


Ähnliche Nachrichten