Erneut Kritik an Apple für verzögertes Sicherheits-Update
Mehrere Wochen waren iOS-Nutzer durch kritische Schwachstellen angreifbar, wirft eine Sicherheitsforscherin dem Konzern vor. Informationen dazu hatte Apple selbst mit einem vorausgehenden Update für Mac-Safari veröffentlicht.
Apple hat mehrere kritische Webkit-Schwachstellen erst nach mehrwöchiger Verzögerung in iOS 7.1.1 geschlossen. Informationen zu diesen hatte der iPhone-Hersteller Anfang April mit einem Update der Mac-OS-X-Version von Safari ausgerechnet selbst publiziert – darauf hat die in der Vergangenheit auch für Apple tätige Sicherheitsforscherin Kristin Paget hingewiesen.
Die aufgeführten Webkit-Schwachstellen in OS X und iOS, die das Ausführen von Schadcode beim Aufruf einer manipulierten Webseite erlauben könnten, seien weitestgehend identisch. Sie waren beim Hacker-Wettbewerb Pwn2Own bereits erfolgreich gegen Mac OS X zum Einsatz gekommen.
Jemand sollte Apple einbläuen, nicht eines der hauseigenen Betriebssysteme dafür zu nutzen, einen Zero-Day-Exploit auf das andere loszulassen, schimpft Paget – und spielt darauf an, dass Apple bei dem "goto fail"-Bug genau andersherum gehandelt hat. Dort erhielt zuerst iOS ein Update, in Mac OS X wurde die schwerwiegende SSL-Sicherheitslücke erst mit mehrtägiger Verzögerung geschlossen.
Warum Apple in diesem Fall die um ein vielfaches größere iOS-Nutzerschaft den Lücken über mehrere Wochen ausgesetzt ließ, bleibt unklar. Eine weitere SSL-Schwachstelle hat Apple am vergangenen Dienstag ebenfalls beseitigt – diese aber zeitgleich für iOS 7 sowie OS X 10.9 Mavericks und OS X 10.8 Mountain Lion. (lbe)