OS X 10.10.2: Apple patcht "Thunderstrike"-Angriff und Googles Zeroday-Lücken
In der jüngsten Yosemite-Beta sollen gleich mehrere problematische Fehler behoben sein. Wann die Finalversion erscheint, bleibt unklar. Der Entdecker von "Thunderstrike" kritisierte Apple.
Apples Sicherheitsteam hatte in den letzten Wochen einiges zu tun. Erst wurde auf dem 31C3 öffentlich, dass sich Macs via Thunderbolt recht einfach mit einer manipulierten Firmware versehen lassen, die sich kaum erkennen lässt. Dann veröffentlichte Google im Rahmen seines "Projekt Zero" gleich drei ungepatchte Lücken in OS X, weil es Apple nicht gelungen war, diese innerhalb von 90 Tagen zu schließen.
Wie nun das Apple-Blog iMore berichtet, sind die Zerodays von Google offenbar im jüngsten Entwicklerbuild von OS X 10.10.2, das sich derzeit in der Betaphase befindet, behoben worden. So kennzeichnet Google einen der Bugs selbst als in Yosemite "entschärft" (nicht jedoch in OS X 10.9.5) während ein weiterer ebenfalls als "fixed" bezeichnet wird.
In einer weiteren Meldung schreibt iMore, auch der sogenannte "Thunderstrike"-Angriff auf Thunderbolt-Macs werde mit der jüngsten Beta von OS X 10.10.2 behoben. Zuvor war schon bekannt, dass Apple bei seinem aktuellen Retina-iMac und der jüngsten Mac-mini-Generation "teilweise" für Abhilfe gesorgt haben soll.
Der Fix in OS X 10.10.2 soll nun verhindern, dass das Boot-ROM eines Mac ausgetauscht werden kann. Auch eine Rückkehr auf einen Systemstand, in dem ein solcher Angriff wieder möglich ist, werde verhindert. Allerdings kritisierte der Entdecker des Problems, Trammell Hudson, gegenüber Ars Technica, dass Apple die Möglichkeit von Option-ROMs nicht grundsätzlich abschalte. Das mache ihm "große Sorgen".
Apple testet OS X 10.10.2 bereits seit November. Wann das Update erscheint, ist noch unklar; aktuell publiziert der Hersteller neue Builds im Wochentakt für seine Entwickler. (bsc)
