Mac OS X enthält Sicherheitslücken, die in anderen Betriebssystemen vor mehr als zehn Jahren behoben worden sind: Dies behauptet Neil Archibald, Senior Researcher beim Sicherheitsspezialisten Suresec. Der Experte hat bereits zahlreiche Fehler in Apples zunehmend populärer Plattform aufgedeckt.
Mit wachsenden Marktanteilen wird das Apple-Betriebssystem zukünftig genauer unter die Lupe genommen werden, meint Neil Archibald, Senior Researcher beim Sicherheitsspezialisten Suresec[1]. Sicherheitsforscher könnten dann eine Vielzahl von simpel zu knackenden Bugs in OS X finden. Seiner Meinung nach werden Nutzer von Mac OS X dann sogar größeren Gefahren ausgesetzt sein als Nutzer von Windows oder Linux.
"Das Einzige, was Mac OS X bislang als sicher hat gelten lassen, ist die Tatsache, dass sein Marktanteil signifikant kleiner ist als der von Microsoft Windows oder den gängigeren UNIX-Plattformen. Sollte sich diese Situation ändern, dann könnte es für Mac OS X in puncto Sicherheit deutlich schlechter aussehen", spekuliert Archibald.
Seine Meinung begründet der Researcher damit, dass Apple keine so genannten Auditing-Tools verwendet, um seine Software auf Schwachstellen zu überprüfen. Diese Art von Kontrollsoftware wird von Microsoft seit Beginn seiner Trustworthy-Computing-Initiative verstärkt eingesetzt, um gängige Programmierfehler aufzuspüren, zum Beispiel solche, die Pufferüberläufe ermöglichen.
"Der Code, den Apple in seinen Anwendungen und Bibliotheken verwendet, wird nicht ausreichend kontrolliert. Einige der Sicherheitslücken, die wir bei der Untersuchung von Mac OS X entdeckt haben, wurden in den meisten Betriebssystemen vor zehn bis 15 Jahren behoben."
Um seine These zu belegen, nennt Archibald einige Beispiele[2]:
Letzten August musste Apple das von Archibald entdeckte "dsidentity"-Sicherheitsloch stopfen. Betroffen waren OS-X-Versionen 10.4.x bis einschließlich 10.4.2. Dieser nach Ansicht des Forschers "triviale" Bug hätte ausgenutzt werden können, um einem eingeschränkten Nutzer Administrator-Rechte zu verleihen, und um "Root"-Benutzerkonten zu erstellen und zu löschen.
"Solche Bugs lassen sich mit einem schnellen Blick in den Code entdecken. Sie sind in anderen Betriebssystemen schon lange nicht mehr vorhanden. Als wir mit Apple am Telefon über die Angelegenheit sprachen, hatte das Sicherheitsteam noch nie etwas von der betroffenen Anwendung gehört. Aufgrund der Banalität der Anfälligkeit brachen sie in Gelächter aus", sagte Archibald.
Er beschrieb eine weitere Schwachstelle in der OS-X-Speicherzuweisung, die kürzlich beseitigte wurde. Diese ermöglichte es bestimmten Anwendungen, beliebige Dateien auf dem System zu überschreiben und Root-Rechte zu erlangen.
Der Experte berichtete dann von einem weiteren Speicherproblem, das von einem Angreifer ausgenutzt werden könne, um die Kontrolle über einen Prozess zu erlangen. "Zum gegenwärtigen Zeitpunkt ist die Lücke nicht gestopft. Apple weiß jedoch, dass sie existiert."
Archibald kritisiert nicht nur Apples mangelnde Überprüfung seiner Software, sondern auch die Art und Weise, wie der Hersteller mit Forschern umgeht, die Sicherheitslücken im Mac-Betriebssystem entdecken.
"Nach meiner Erfahrung - und das gilt auch für meine Kollegen - reagiert Apple nur sehr langsam auf gemeldete Sicherheitsprobleme. Das Unternehmen erwartet, dass Security-Researcher eine unbestimmte Zeit ausharren, bevor sie ihre Befunde veröffentlichen, bietet ihnen aber gleichzeitig keinen Anreiz, dies zu tun", so Archibald.
Apples beeindruckende Sicherheitsstatistik werde sich wahrscheinlich schnell trüben, wenn der Hersteller weiterhin seinen Code nicht ausreichend überprüfe und die Arbeit von Sicherheitsforschern unterbewerte: "In der kurzen Zeit, in der Suresec-Researcher Mac OS X auf Fehler untersucht haben, sind zahlreiche solcher Schwachstellen zum Vorschein gekommen. Suresec sind gegenwärtig viele Bugs bekannt, die standardmäßig in der neuesten Version von Mac OS X vorhanden sind, auf der Intel- sowie auf der PPC-Architektur."
Apple lehnte es ab, Archibalds Ansichten zu kommentieren. Ein Apple-Sprecher verlautete gegenüber ZDNet, dass das Unternehmen nicht kommentieren werde, "was andere Personen über Mac OS X erzählen."
"Es gibt auf unserer Website sehr viele Informationen zur Sicherheit von Mac OS X, und wir haben vieles getan, damit Mac OS X eine stabile und sichere Plattform für unsere Kunden - sowohl große als auch kleine - darstellt", fügte der Sprecher hinzu.
URLs in diesem Artikel:[1] = http:/
[2] = http:/