Project Zero deckt schwere iOS Sicherheitslücke auf

[smoe]

Allein die Tatsache, dass Apple seine Betriebssysteme viel länger und intensiver wartet, macht iOS und macOS per se sicherer.

Bei iOS im Vergleich zu den meisten Android Telefonen stimmt das. Was macOS angeht stimmt das nicht. Da bekommen die Windows-Kisten länger Sicherheitsupdates als die Macs.

 

[rootie]

Ich denke es kommt immer auf die Art der Lücke an. Es gab auch schon Updates für längst vergangene macOS - Versionen. Es muss halt eine schwere Sicherheitslücke sein und dann geht das auch mal ein paar Jährchen zurück.

Windows-Kisten bekommen auch nur länger Updates, weil Microsoft das Problem hat, dass heute noch XP-Kisten rumstehen und im Internet hängen. Eine Folge des großen Marktanteils halt. Wie oft hat Microsoft schon angekündigt, keine Sicherheitsupdates mehr für Uralt-Systeme zu machen und dann ziehen sie im letzten Augenblick doch noch mal zurück und verlängern (wenn auch kostenpflichtig)? [emoji16]

Das macht Microsoft garantiert nicht freiwillig.

Gibt es denn für nicht mehr gewartete macOS denn eine bekannte Sicherheitslücke, die Remote Root ermöglicht? Alles andere ist für so alte Systeme nämlich eigentlich nicht „patchenswert“.

 

[Verlon]

Wo habe ich auch nur im Ansatz, so etwas geschrieben?

na wenn du sagst, dass der Fehler im System liegt, dann dürften doch bei anderen Systemen so ein Exploit nicht möglich sein, oder?
Oder was meinst du mit Fehler im System?

 

[Mokotschombo]

Das macht Microsoft garantiert nicht freiwillig.

Gibt es denn für nicht mehr gewartete macOS denn eine bekannte Sicherheitslücke, die Remote Root ermöglicht? Alles andere ist für so alte Systeme nämlich eigentlich nicht „patchenswert“.

Aber die machen es...

Und das Thema ist, dass auch die gewarteten MacOS Versionen scheinbar eine easy Nummer sind. Die Anwender fühlen sich sicher.

 

[rootie]

Aber die machen es...

Und das Thema ist, dass auch die gewarteten MacOS Versionen scheinbar eine easy Nummer sind. Die Anwender fühlen sich sicher.

Wie gesagt - ich hätte gerne ein Beispiel, wo eine alte macOS - Version nicht mehr gepatcht wird/wurde trotz bekannter Remote Root - Sicherheitslücke. Ansonsten ist die Diskussion müßig.

Gewartete Versionen erhalten so schnell es geht Updates - erst wenn hier mal eine bekannte Lücke über Monate nicht gepatcht wird, kann sich hier beschwert werden. Oder gibt es hierfür auch Beispiele?

 

[Mokotschombo]

Gewartete Versionen erhalten so schnell es geht Updates - erst wenn hier mal eine bekannte Lücke über Monate nicht gepatcht wird, kann sich hier beschwert werden. Oder gibt es hierfür auch Beispiele?

So wie ich dem Beitrag entnehme, braucht es keine Lücken.

 

[rootie]

So wie ich dem Beitrag entnehme, braucht es keine Lücken.

Das verstehe ich jetzt nicht.

 

[Mokotschombo]

Das verstehe ich jetzt nicht.

"Im Vergleich dazu ist macOS ein ziemlich leichtes Ziel."

das meine ich.

 

[rootie]

Ja aber im Vergleich zu was? Es geht doch nicht darum, wie einfach ein System angreifbar ist, sondern in welcher Zeitspanne nach bekanntwerden die Lücke geschlossen wird. Und da muss sich doch Apple nun wahrlich nicht verstecken. Gerade hier nicht, wo sie innerhalb 1 Woche die Lösung veröffentlicht haben.

Nicht bekannte Lücken kann man nur durch Zufall finden. Und wenn es Lücken sind, die die NSA kennt und sonst keiner - was willst dagegen machen?

 

[Mokotschombo]

Ja aber im Vergleich zu was? Es geht doch nicht darum, wie einfach ein System angreifbar ist, sondern in welcher Zeitspanne nach bekanntwerden die Lücke geschlossen wird. Und da muss sich doch Apple nun wahrlich nicht verstecken. Gerade hier nicht, wo sie innerhalb 1 Woche die Lösung veröffentlicht haben.

Nicht bekannte Lücken kann man nur durch Zufall finden. Und wenn es Lücken sind, die die NSA kennt und sonst keiner - was willst dagegen machen?

Na zu Windows, hier nochmal:

https://m.spiegel.de/netzwelt/gadge...e-ein-mac-ist-leicht-zu-hacken-a-1281361.html

und braucht man eigentlich immer Lücken? Der dumme User ist doch die größte Lücke.

 

[rootie]

„Dokument nicht gefunden“ sagt er bei mir.

Ich gebe Dir Recht - in 95% der Fälle ist das ein Layer-8-Problem. Es sitzt also zwischen Stuhl und Monitor!

Ernst wird es erst, wenn man - egal wie - es nicht verhindern kann. Die Lücke aus dem Beitrag ist so eine. Das ist mehr oder weniger ein Remote Exploit. Und natürlich muss der gefixt werden. Tut Apple ja auch und das für ganz ganz viele Modelle.

Bei Android sieht es anders aus - hier gibt es Abermillionen Geräte, die keine Sicherheitsupdates mehr bekommen.

Ich weiß ja auch nicht, wie wir zu Windows und macOS kommen. Hier gehts eigentlich um iOS. Wenn man also Vergleiche anstellen will, dann mit Android.

 

[Mokotschombo]

„Dokument nicht gefunden“ sagt er bei mir.

habs korrigiert

Ich weiß ja auch nicht, wie wir zu Windows und macOS kommen. Hier gehts eigentlich um iOS. Wenn man also Vergleiche anstellen will, dann mit Android.

Es ging um das Sicherheitsgefühl bei Apple im allgemeinen.

 

[smoe]

Das macht Microsoft garantiert nicht freiwillig.

Gibt es denn für nicht mehr gewartete macOS denn eine bekannte Sicherheitslücke, die Remote Root ermöglicht? Alles andere ist für so alte Systeme nämlich eigentlich nicht „patchenswert“.

Ob Microsoft das freiwillig macht ist dabei ja völlig egal, wichtig ist, dass sie es machen.

Und bekannte Sicherheitslücken für macOS gibt es genug.

https://www.cvedetails.com/product/156/Apple-Mac-Os-X.html?vendor_id=49

Klar nicht alles Remote Root, aber genug, dass man mit dem alten Mac eigentlich nicht mehr arbeiten sollte. Und das obwohl der Mac evtl noch einwandfrei wäre...

Ich weiß ja auch nicht, wie wir zu Windows und macOS kommen. Hier gehts eigentlich um iOS. Wenn man also Vergleiche anstellen will, dann mit Android.

Es ging mir nur um die Aussage, dass Macs ja so lange mit Updates versorgt werden. Hat ansonsten wirklich nichts mit dem Thema zu tun. Von daher würde ich es damit auch gut sein lassen, oder alternativ einen eigenen Thread dafür vorschlagen.

 

[rootie]

@smoe Laut dieser Seite hat Windows 10 278 und macOS 117 Lücken. Also nicht mal die Hälfte. Es geht ja nicht darum, ob es Systeme ohne Lücken gibt - die gibts halt einfach nicht [emoji16]

Wenn die Sicherheitslücke gravierend genug ist, patcht Apple die auch für alte Versionen. Ist in der Vergangenheit oft genug passiert und wird auch wieder passieren.

Es geht auch nicht um die Menge der Lücken. Wenn keine die Daten auf dem Rechner gefährdet, dann kann man das System auch weiter nutzen. Nur die allerwenigsten Lücken sind auch Exploits. Lücken sind erst mal mögliche Probleme. Meist kommt es erst zu einem Exploit, wenn man mehrere dieser Lücken kombiniert.

Da sollte man dann schon auch sauber differenzieren!

Ich warte also weiter darauf, dass mir hier die Megalücke in den alten Systemen, die Apple ungepatcht gelassen hat, nennt, die aktiv die Daten auf dem System gefährdet, wenn man ins Internet geht. Ich rede NICHT von Lücken, zu denen man physikalisch Zugang zum Rechner oder zum Device haben muss.

 

[rootie]

https://www.apple.com/newsroom/2019/09/a-message-about-ios-security/

Und wenn ich jetzt sage, dass ich eher Apple als Google glaube, habe ich direkt wieder die rosarote Brille auf

 

[Sequoia]

Und noch mal übersetzt:

Letzte Woche veröffentlichte Google einen Blogpost über Schwachstellen, die Apple schon im Februar für iOS-Nutzer gestopft hat. Wir haben von Kunden gehört, die von den Problemen betroffen waren, und wir wollen sicherstellen, dass alle unsere Kunden die Fakten haben.

Erstens war der ausgeklügelte Angriff eng fokussiert und nicht wie beschrieben eine breit angelegte Nutzung von iPhones „en masse“. Der Angriff betraf weniger als ein Dutzend Websites, die sich auf Inhalte im Zusammenhang mit der uigurischen Gemeinschaft konzentrieren. Unabhängig vom Ausmaß des Angriffs nehmen wir die Sicherheit aller Benutzer sehr ernst.

Googles Beitrag, der sechs Monate nach der Veröffentlichung des iOS-Patches veröffentlicht wurde, erweckt den falschen Eindruck von „Massenausbeutung“, um „die privaten Aktivitäten der gesamten Bevölkerung in Echtzeit zu überwachen“ und schürt bei allen iPhone-Nutzern die Angst, dass ihre Geräte kompromittiert wurden. Das war nie der Fall.

Zweitens deuten alle Beweise darauf hin, dass diese Website-Angriffe nur für einen kurzen Zeitraum, etwa zwei Monate, und nicht „zwei Jahre“, wie Google andeutet, durchgeführt wurden. Wir haben die fraglichen Schwachstellen im Februar behoben und nur 10 Tage, nachdem wir davon erfahren hatten, extrem schnell daran gearbeitet, das Problem zu lösen. Als Google auf uns zukam, waren wir bereits dabei, die ausgebeuteten Fehler zu beheben.

Sicherheit ist eine endlose Reise und unsere Kunden können sicher sein, dass wir für sie da sind. iOS-Sicherheit ist unübertroffen, weil wir die Verantwortung für die Sicherheit unserer Hard- und Software übernehmen. Unsere Produktsicherheitsteams auf der ganzen Welt arbeiten ständig daran, neue Schutzmaßnahmen einzuführen und Schwachstellen zu beheben, sobald sie gefunden werden. Wir werden unsere unermüdliche Arbeit zur Sicherheit unserer Benutzer nie einstellen.
Quelle: https://www.appgefahren.de/iphone-h...ung-und-gibt-deutliche-entwarnung-259850.html

 

[saw]

Im Prinzip nicht viel neues.

 

[Sequoia]

Im Prinzip nicht viel neues.

Finde ich schon. Weniger als 12 Webseiten. Und 2 Monate.

 

[Mokotschombo]

Die Wahrheit wird dazwischen liegen.... ist immerhin ein Pressetext

 

[echo.park]

https://www.apple.com/newsroom/2019/09/a-message-about-ios-security/

Und wenn ich jetzt sage, dass ich eher Apple als Google glaube, habe ich direkt wieder die rosarote Brille auf

Für mich klingt das plausibel. Ich habe keinen Grund Apple nicht zu glauben. Brille hin oder her. Google dagegen ist ja selbst so knauserig mit Infos darüber, dass ich den paar Infos, die gekommen sind, nicht so einfach glauben kann, oder muss. Wer so rumeiert, dem soll man alles Wort für Wort glauben?