Experte: Apple muss mehr für Sicherheit tun
Mit Apple-Produkten zu arbeiten sei immer noch eine relativ sichere Sache, meint Rich Mogull. Es sei aber absehbar, dass sich dies ändere, wenn Apple die Sicherheitsrichtlinien und -architektur nicht verbessere.
- Daniel Bachfeld
Apple muss mehr für die Sicherheit seiner Software tun, fordert der unabhängige Sicherheitsspezialist Rich Mogull. Zuletzt habe die Unfähigkeit von Apple, einen Patch zum Schließen der kritischen Java-Lücke in Mac OS X zu liefern, gezeigt, dass der Hersteller erhebliche Defizite im Umgang mit Sicherheitsproblemen habe. Mogull hat unter anderem mit der Mozilla-Foundation ein Modell entwickelt, das die Sicherheit des Web-Browser Firefox besser erfassen soll.
Zu den erforderlichen Maßnahmen bei Apple gehören nach Meinung von Mogull die Berufung eines Chief Security Officer (CSO) als treibende, koordinierende Kraft und öffentliches Gesicht. Der CSO müsse über ein eigenes Budget und Personal verfügen und mit Autoritäten ausgestattet sein, die verhindern, dass seine Arbeit von konkurrierendenden Bestrebungen gestört wird.
Zusätzlich fordert Mogull ein "Secure Software Development" für seine wichtigsten Produkte Mac OS X und das iPhone, wie es Microsoft seit Jahren praktiziert – und Adobe gerade beginnt zu übernehmen. Im Rahmen des Programms soll Apple seine Programmierer trainieren, Entwicklungsstandards festlegen, Bedrohungsmodelle entwickeln und Code-Reviews durchführen.
Des Weiteren sei die Gründung eines Security Response Teams erforderlich, das sich um Berichte zu Schwachstellen in veröffentlichter Software kümmere. Insbesondere, da viele Produkte von Apple auf Open-Source-Software beruhen, sei es wichtig, den Sicherheitsstatus dieser Projekte zu verfolgen und schnell zu reagieren. Bis dato hinke Apple beim Schließen der benutzten Software immer hinterher – selbst beim hauseigenen Webkit.
Schließlich soll Apple die Einführung seiner "Anti-Exploitation Technologies" komplettieren und abschließen. Zwar seien mit Mac OS X 10.5 Leopard ansatzweise Schutzmechanismen wie ein nicht-ausführbarer Stack (auf Intel), Speicherverwürfelung und Sandboxing eingeführt worden. Diese seien aber unvollständig und fehlerhaft und ließen sich umgehen. Möglicherweise sehe man erste Schritte dorthin bereits in Snow Leopard.
Mit Apple-Produkten zu arbeiten sei immer noch eine relativ sichere Sache, so Mogull in seinem Artikel auf TidBITS. Es sei aber absehbar, dass sich dies ändere, wenn Apple die Sicherheitsrichtlinien und -architektur nicht verbessere.
Siehe dazu auch:
- Exploit für ungepatchte Lücke in Mac OS X, Bericht auf heise Security
- Adobe plant eigenen Patchday, Bericht auf heise Security
- Apple ohne Patch für DNS-Lücke, Bericht auf heise Security
(dab)
