Googles Project Zero schiebt noch einmal zwei OS X-Lücken hinterher

Nachdem Googles Project Zero-Team den Software-Konzern Microsoft etwas geärgert hat, scheint man sich nun etwas auf Apple einzuschießen. Bereits zum zweiten Mal in dieser Woche veröffentlichte man Informationen zu Sicherheitslücken im ... mehr... Sicherheitslücke, Fehler, Bug Bildquelle: Windell Oskay / Flickr Sicherheitslücke, Fehler, Bug Sicherheitslücke, Fehler, Bug Windell Oskay / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich finde es zwar auch nicht sonderlich gut, dass Google Lücken selbst dann veröffentlicht, wenn der Hersteller ohnehin unmittelbar vor Veröffentlichung eines Patches steht. Aber in diesem Fall finde ich es bei einer der beiden Lücken richtig. Lt. heise ist das Problem bei der einen Lücke nämlich eine simple Nullpointer-Dereferenzierung. Sowas zu beheben, ist alles andere als Raketenwissenschaft und problemlos in 90 Tagen zu schaffen. Wenn Apple da innerhalb von 90 Tagen nichtmal eine Rückmeldung gibt, ob sie an einem Patch arbeiten, ist es nur richtig, dass Google die Lücke publik macht.
 
@TiKu: deine einstellung zu apple kennen wir doch alle weswegen sich niemand wundern dürfte das du das gut findest. google tut sich mit seiner derzeitigen strategie bzgl veröffentlichung von sicherheitslücken sicher keinen gefallen... insbesondere unter dem aspekt das sie kunden mit älteren android versionen im regen stehen lassen und es dann auf die hersteller geschoben wird.
 
@Balu2004: nein tut google nicht, es steht jedem frei auf 5.0.3 upzudaten
 
@shriker: korrekt .. die zig millionen user mit alten android versionen sollen sich gefälligst was neueres zulegen)
 
@Balu2004: nein updaten
 
@shriker: du bist ein lustiger Theoretiker :D
 
@Balu2004: Google Supportet nur Nexus, Google Play Edition und Android One devices. Alles andere sind Forks von den jeweiligen Herstellern. Ohne CyanogenMod oder AOSP gehts dann für die Geräte halt nicht weiter.
 
@shriker: Sag das mal den Usern mit einem Nexus 7 LTE ;) Die finden das Update alle ganz bombastisch ;)
 
@ger_brian: Also ich habe die Tage mein Nexus 7 geupdated.
 
@klarso: Dann hast du ein Nexus 7 ohne LTE, die LTE Varianten haben allesamt 4.4.4
 
@ger_brian: für LTE wird das Update ein paar Wochen nach der normalen Version verteilt. War bisher immer so. Und Android 4.4.4 hat keine ungepatchten Sicherheitslücken.
 
@klarso: ein paar Wochen? Wir sind mittlerweile bei Monaten. Kannst du mir mit Garantie sagen, dass beim Update auf 5.0 keine einzige sicherheitslücke geschlossen wurde?
 
@shriker: Wie soll ich das tun? Ich hab von der Arbeit ein Vodafone Smart 4 Turbo bekommen. Es gibt kein Update von 4.4.4 auf eine höhere Version.

Kurz, ja ich habe Vollzugriff auf das Gerät, aber ich werde einen Teufel tun und das CM installieren.

PS: Meine Eltern würde das auch nicht tun, wobei es für deren Tablet nichtmal CM gibt.
 
@Knerd: das hast du doch schon vor dem Kauf gewusst. Hättest dir halt mal ein Nexus geholt oder ein Gerät von einem Hersteller, der Updates zusagt wie z.B. Moterola oder LG. Und selbst wenn man kein Update mehr für sein Gerät vom Hersteller erhält ist es jetzt nicht sonderlich schwer sich die Android Source herunterzuladen, zu einem Image kompilieren und auf sein Handy aufzuspielen, wenn man etwas Ahnung hat. Darüberhinaus gibt es schon vorgefertigte Android Distributionen wie eben CM. Aber hey was antworte ich dir und den restlichen Trollern hier überhaupt, wenn es um Windows Phone gehen würde, würdet ihr nur sagen, ja das ist halt eine neue Kernelversion, ist doch klar das es da kein Update von 7 auf Version 8 geben kann. Als ob man einen Kernel nicht updaten könnte. Was ein Kindergarten hier mal wieder ....
 
@klarso: Ich hab das Gerät von der Arbeit bekommen, ich durfte nicht wählen und ich habe da nichts gekauft.

Aber gut, warum verschwende ich meine Zeit, mit einem Troll der nicht einmal richtig liest.
 
@Balu2004: Google gibt den Herstellern umfangreiche Rechte. Sie dürfen Android anpassen, sie dürfen eigene App Stores betreiben etc. Warum sollten sie den Herstellern nicht auch Pflichten auferlegen dürfen, nämlich die Endkunden entweder mit aktuellen Android-Versionen zu versorgen, oder sich selbst um das Schließen von Sicherheitslücken zu kümmern, was sie ja können? Ich bin mir sicher, dass Google die Lücken auch in eigentlich nicht mehr unterstützten Android-Versionen schließen würde, WENN DIE HERSTELLER GOOGLE DAFÜR BEZAHLEN WÜRDEN.
Zu deinem Vorwurf bzgl meiner Einstellung zu Apple und Google, da kann ich dir nur empfehlen, mal genau zu lesen. Vielleicht würdest du dann erkennen, dass ich durchaus auch Google kritisiert und Apple in Schutz genommen habe. Aber Schubladen sind ja viel einfacher, stimmts?
 
@TiKu: Warum sollten die Handyhersteller Google dafür bezahlen?

Google gibt sein BS quasi gratis raus und will nicht an dem BS verdienen, sondern Google verdient mit den Daten der Kunden...je höher der Marktanteil von Android, desto mehr Kundendaten, desto mehr Profit für Google über die Werbewirtschaft.

Wenn die (Sicherheit-)-Updates nicht zügig geliefert und diese Information schnell publik werden, verliert Android an Attraktivität für Neukunden.

Und die Bestandskunden, die von Google bzw. den Handyherstellern nicht mehr für ihre älteren Handys mit Updates versorgt werden (sollen ja mehr als eine Mrd. Geräte weltweit sein), schauen eh in die Röhre.

Google benimmt sich gerade wie der sprichwörtliche Elefant im Porzellanladen.
 
Google hat viele Lücken bereits von OS X & Safari gemeldet (Seit Start des Projekts im März 14) und Apple hat diese immer recht schnell geschlossen. Win/Win
 
@wertzuiop123: Genau. Nur Microsoft muckt, weil ein Patchday wichtiger ist als einen fertigen Patch sofort bereitzustellen oder man schließt die Lücke erst garnicht ;) Aber Google ist ja böse.
 
@Peter Griffin: Eigentlich bauschen das auch die Medien extrem auf. Was bei den Meldungen (mit bisschen überspitzter Überschrift) auf den Tech-News-Seiten los war O.o Gebe mal auch ein Win für die Medien
 
@Peter Griffin: Ob das Festhalten am Patchday jetzt so gut ist, sei mal dahingestellt. Aber wenn eine Lücke 90 Tage offen war und noch nicht ausgenutzt wird (zumindest nicht im großen Stil), dann kommts auf 2 Tage mehr auch nicht mehr an. Sprich: Google könnte auch mal ein Auge zudrücken.
 
@TiKu: MS hat doch schon ein paar HotFixes außerhalb der PatchDays bereitgestellt. Von mir aus kann der PatchDay beibehalten werden, aber Zero-Day-Lücken gehören meines Erachtens sofort gefixed. Da können 1-2 Tage auch schon zu lang sein.
 
@blume666: MS macht das unter der Voraussetzung dass sie selbst die Schwachstelle als hoch kritisch sehen.

Zero day lücke ist eben nicht Zero day lücke...die 2 letzten aufgezeigten windowslücken sehe ich z.B. alles andere als kritisch und da muss auch nicht zwangsweise ein patch ausser reihe raus.
Zero Day sagt schlicht nichts über die schwere einer Lücke und manche sind eben auch nicht so hoch kritisch als dass man hier die Energie für eventuell anderes wichtiges/wichtigeres verschwenden muss.
 
@0711: Die zweiten nicht. Die erste von Google publizierte sieht da schon anders aus.
 
@Peter Griffin: eigentlich hat MS beim testen Probleme festgestellt, "fertig", nein

Und von "sofort" kann bei den ohne patch veröffentlichten berichten von Googles Project Zero so oder so nicht gesprochen werden.

Aber nein, Google ist deswegen nicht böse, finde ich sogar gut dass sie danach schauen...kommt mir nur zu gute
Schlussendlich wird hier aber oft viel zu heiß gekocht
 
@wertzuiop123: also die aktuelle lücken sind ja schon 90 tage bekannt bevor sie veröffentlicht werden ;)
 
@0711: ja, die aktuellen schon ;)
 
"allerdings muss angemerkt werden, dass der Angreifer physischen Zugang zum System haben muss."
Na wenigstens ist man ein mal Vollständig.

Apropos schiebt hinterher, hat aber lange gedauert der Artikel, es ist fast 3 Tage bzw. 1,5 Tage her seit Veröffentlichung, was wenn der Countdown (90 Tage) abgelaufen ist ohne weiteres "schieben" automatisch geschieht.
 
Ich finde gut was Google macht, allerdings dürfen die sich nicht beschweren wenn das ganze auch bei denen gemacht wird. Cyanogenmod wird davon allerdings profitieren, denn die schließen solche Lücken auch. Nachtrag: Die paar Tage hätten sie dennoch warten können.
 
@BrakerB: Auf was hätten sie die paar Tage warten können?
 
@0711: Microsoft hatte den Patch bereits parat wurde aber noch nicht verteilt. Google hatte die Lücke öffentlich gemacht obwohl der Patch in zwei tagen verteilt werden sollte.
 
@BrakerB: der Patch wurde nicht verteilt, war dann doch nicht so fertig wie behauptet. Hätte man dann 180 Tage warten sollen oder doch besser gleich 3 Jahre bis sich ein Hersteller mal um die Bugs in seiner Software kümmert? Malewareschreiber kennen den und andere Bugs vielleicht schon länger und nutzen diese Lücken vielleicht bereits seit Jahren unerkannt aus!
 
Macht weiter so! Sicherheit sollte bei den beiden Herstellern vielleicht genauso groß geschrieben werden, wie bei Google, dann bräuchte es solche Meldungen gar nicht.
 
@klarso: lustig das über ein Hersteller zu sagen der kein updatesystem für "sein" System hat....
 
@0711: Von welchem System redest du? Von Android oder von Chrome OS? Beide haben ein Updatesystem. Habe gestern mein Nexus 7 Tablet geupdatet. Eine Meldung kam, dass eine neue Version bereitsteht und ob ich diese installieren möchte, dann habe ich auf OK gedrückt und die Installation war nach einem Neustart abgeschlossen. Ist das jetzt also kein Updatesystem? Ich frage mich bei deinem Kommentar eher was für ein schlechter Trollversuch das ist :D
 
@klarso: es gibt für dein gerät ein updatesystem, nicht fürs System...deshalb ist das auch immer so ein Problem mit den Herstellern die sich dazu hinreisen lassen müssen.

Das hat rein gar nichts mit einem trollversuch zu tun sondern ist leider bei mobilsystemen realität, wp hätte eins, richtig genutzt wird es von MS leider nicht (bzw nur teilweise aber ein kleiner lichtfleck ist da), ios ist die selbe Situation wie bei Android, es gibt keine systemupdates, es gibt geräteupdates, bbos dito etc pp
In summe sind die mobilsystem in diesem punkt eine Katastrophe und google weiß offenbar auch dass sie hier großen müll produziert haben deswegen versuchen sie auch immer mehr vom system auszulagern aber die heilige kuh beflecken darf man natürlich nicht, ich verstehe deinen Standpunkt.

apropopo android und der Anbieter der Sicherheit groß schreibt, bei nahezu allen sicherheitstechniken war Google bei Android "letzter" oder hat es noch nicht implementiert, bei aslr haben sie ewig geschlafen, bei isolated storage gibt's weiter nicht ernsthaft obwohl das "rechtesystem" sowas vorgaukelt und so zieht sich das da einfach durch. Sicherheit ist bei Google an vielen stellen nach dem was sie bei Android so produziert haben sicher nicht größer geschrieben als bei manch anderem Hersteller.
 
Betriebssysteme werden immer Sicherheitslücken haben. Das sollte allen klar sein.
Die Techniken mit denen Sicherheitslücken aufgespürt werden, werden immer ausgefeilter.
Wir sprechen hier von mehreren Millionen Zeilen Programmcode. Jeder der selbst programmiert, weiß welch ein Rattenschwanz eine Änderung im Programmcode nach sich ziehen kann.

Wenn sich die Art und Weise wie heutzutage Programme geschrieben werden (egal in welcher Sprache), nicht grundlegend ändert wird das auch so bleiben. Dazu müsste sich allerdings die Strucktur der CPUs auch vollständig ändern.
Als Vergleich könnte man folgendes nehmen: alles ist auf die Fortbewegung mit Autos ausgelegt. Straßen, Versorgungsnetze, das Leben.
Dann kommt jemand und erfindet das Flugzeug - eine ganz andere Fortbewegung mit ganz anderen Mitteln. Mit dem Auto nur entfernt vergleichbar.
Einziger Zusammenhang: mit beiden Techniken kann ich Personen und Ware von A nach B transportieren. Jedoch sind die Techniken dazu, völlig anders.

Es ist dennoch lobenswert, wenn auf bestehende Lücken hingewiesen wird, damit diese geschlossen werden können. Nur sollte dies in einem überschaubaren Zeitraum geschehen.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter