Sicherheitslücke Mail App

[cordcam]

https://www.golem.de/news/zero-day-i...04-148048.html

Seit Jahren? Ernsthaft, Apple?

[Juris]

Ich habe mich auch etwas erschrocken. Der gestrige Beitrag bei heise hat jetzt noch ein paar Updates - https://www.heise.de/mac-and-i/meldu...r-4707901.html

[Jörn]

Ja, und die SSL-Verschlüsselung, auf die 30 Jahre lang alle Experten, Firmen und die Open-Source-Szene geblickt haben, entpuppte sich ebenfalls als unsicher.

Wenn das alles so einfach wär — isses aba nich'.

Apple hat bereits einen Fix im nächsten Update integriert.

Aber: Manche der Behauptungen aus den Artikeln sind nicht belegt. Etwa, dass die Sicherheitslücke bereits seit Jahren aktiv genutzt werden würde. Doch einen Beleg dafür hat man nicht gegeben. Warum nicht? Wenn es einen aktiven Exploit gibt, dann würde man den doch vorzeigen können, oder nicht?

Weiter: Um das Gerät zu kapern, braucht man eine weitere Schwachstelle im System oder sogar im Kernel. Gibt es die? Wenn ja, welche? Warum wurde dieses wichtige Detail nicht genannt?

[nexus]

Das wollen sie noch rausrücken, große Töne spucken und dann nichts liefern, das wäre sicherlich nicht förderlich für die Reputation von ZecOps. Gemeldet an Apple wurde es genau so, also wird das schon stimmen. Es geht auch primär nicht ums Kapern, sondern um Mails an sich. Schon echt gravierend, gerade seit iOS 6, das ist echt heftig. Ich denke, Details werden noch da nicht sofort genau genannt, weil sie a) schon Apple genannt wurden und b) findige Hacker die die Lücke noch nicht kennen dann eher drauf kommen? Ich hab jedenfalls das Interview vom Leiter so verstanden. Man soll genau aufpassen, da natürlich, und das ergibt Sinn, die Lücke jetzt noch so oft wie möglich versucht wird zu nutzen. Frage mich auch, wie Apple die Update-Verweigerer und Trödler angehen will. Gibt es nicht diesen versteckten iOS Zwangsschalter? Oder ich glaub das war nur bei Apps Dritter so...

Eine Frage hätte ich aber: da es ausschließlich die Mail-App betrifft, wieso kann hier nicht ein Fix via App Store stattfinden? Dort ist sie ja mittlerweile zu finden, da man sie nach Bedarf löschen kann.

[Jörn]

Zitat:

Zitat von nexus

Man soll genau aufpassen, da (...) die Lücke jetzt noch so oft wie möglich versucht wird zu nutzen.

Genau. Jetzt läuft die wirklich gefährliche Phase, weil die Lücke jetzt bekannt ist und noch kein Fix ausgeliefert wurde.

Deswegen war es auch wirklich grandios von der Firma, zur Presse zu rennen – ein oder zwei Tage, bevor Apple den Fix rausbringen kann. Man muss ja schließlich auch den eigenen Namen irgendwie bekannt machen.

Schon seltsam, dass die Firma nicht versucht, das Geld von Apple zu bekommen, das für solche Entdeckungen normalerweise bezahlt wird. Mit dem Gang zur Presse ist das natürlich futsch. Schon komisch. Wer weiß? Vielleicht war der Bug bereits auf anderem Wege bekannt geworden? Da kann man dann wenigstens noch etwas kostenlose PR rausholen.

Es gibt zigtausende Entwickler, die Bugs bei Apple melden. Selten rennt jemand zur Presse, sondern alle wissen, dass Bugs nunmal passieren, und dass man sich nicht gegenseitig dafür in Pfanne haut, sondern sich gegenseitig hilft. Das ist unter Entwickler-Kollegen so, allerdings nicht bei allen.

[mkummer]

Apple selbst meldet, das wäre alles halb so wild. Naja, wie auch immer. Mir ist es relativ egal, denn ich schreibe via Netz ohnehin nur Dinge, die eigentlich jeder wissen kann (und bestimmt niemanden interessiert).

[Jörn]

Apple sagt, was ich weiter oben schon orakelt hatte: Dass ein aktiver Exploit nicht bekannt ist (dies wurde in den Artikeln behauptet, aber komischerweise nicht belegt); und dass die Ausnutzung der Lücke erfordert, dass eine zweite Lücke im System existiert, die aber eben nicht gerade nicht existiert.

[cordcam]

„Ich habe nichts zu verbergen“ ist das daA (dümmste anzunehmende Argument).

[Jörn]

Michael hat das nicht als "Argument" verwendet. Sondern nur darauf hingewiesen, dass es ihn persönlich nicht aufregt.

[cordcam]

Woher weißt du, dass solch eine zweite Lücke derzeit nicht existiert, Jörn?