Heute hat Googles Project Zero eine Details zu einer Sicherheitslücke in Apples MacOS veröffentlicht. Für die meisten Anwender ist die Lücke aber nicht kritisch - zumindest nicht so richtig.
Eine Sicherheitslücke in MacOS ermöglicht es, den Inhalt einer Datei so zu verändern, dass das Betriebssystem davon nichts mitbekommt. Durch eine gezielte Manipulation des Arbeitsspeichers kann ein Angreifer das System zwingen, die zuvor manipulierte Datei zu laden. Das hört sich erst einmal dramatisch an. Für die meisten Nutzer ist diese Sicherheitslücke allerdings kein wirklicher Grund zur Sorge. Denn damit dieser Angriff funktioniert, muss jemand bereits physischen Zugriff auf den Rechner haben und ein Speichermedium anschließen. Alternativ muss eine Malware auf dem System installiert sein. Sprich: Nur bereits kompromittierte Rechner sind anfällig für diesen Angriff. Aus diesem Grund steht die Sicherheitslücke bei Apple wohl eher weiter hinten auf der Prioritätenliste.
Deadline gerissen
Project Zero hat nach 90 Tagen die Sicherheitslücke öffentlich gemacht, nachdem Apple trotz mehrerer Updates innerhalb dieser Zeit diese Sicherheitslücke nicht gepatcht hat. Sicherheitsexperten des Google-Ableger sucht gezielt nach Schwachstellen und melden diese an die betroffenen Hersteller. Dieser hat dann 90 Tage Zeit, die entdeckte Sicherheitslücke zu beheben. Nach Ablauf dieser Zeit veröffentlicht Project Zero die Details. Project Zero hat schon häufiger auf Sicherheitsprobleme bei großen Herstellern hingewiesen. In den vergangenen Jahren gab es deswegen auch Auseinandersetzungen um die recht strikten Vorgaben zur Veröffentlichung der gefundenen Bugs, etwa mit Microsoft. Mittlerweile hat sich die Frist von drei Monaten de facto als Industriestandard etabliert.
Tim Berghoff
Security Evangelist