Apple schließt dutzende Sicherheitslücken

EnterpriseSicherheit

Mit dem neunten Patchday des Jahres behebt Apple nicht nur einige bereits seit längerem bekannte Sicherheitsprobleme in Mac OS X, das Unternehmen sieht sich auch vermehrter Kritik an seiner Update-Politik ausgesetzt.

Mit dem Security Update 2007-009 hat Apple gestern ein Paket mit 31 Sicherheitspatches für Mac OS X herausgebracht. Die meisten Updates beheben Probleme der Version 10.4 Tiger, aber auch das aktuelle Release 10.5 Leopard ist von verschiedenen Sicherheitsproblemen betroffen.

Einige der Schwachstellen sind als kritisch eingestuft worden, weil durch sie über manipulierte Webseiten Programme zum Absturz gebracht werden können oder ein Angreifer beliebigen Code auf einem ungepatchten System ausführen kann. Apple rät allen Nutzern, das Sicherheitsupdate zu installieren, welches über die in Mac OS X integrierte Update-Funktion oder die Download-Webseite von Apple bezogen werden kann.

Das Update-Verhalten von Apple steht immer wieder in der Kritik von Sicherheitsexperten. So wird zum Beispiel erst jetzt eine Sicherheitslücke im Adobe-Flash-Player geschlossen, die Adobe selbst bereits vor mehr als zwei Monaten mit einem Update adressiert hat.

Ähnliches gilt auch für die Java-Komponenten im Apple-Betriebssystem, die ebenfalls nicht von Sun aktualisiert werden. Ende letzter Woche hatte Apple in einem separaten Update mehr als ein Dutzend Schwachstellen in der Java-Runtime behoben – eine der geschlossenen Sicherheitslücke war bereits seit mehr als einem Jahr öffentlich bekannt.

Zusätzlich wurde bei diesem Update bemängelt, dass Apple keinerlei direkte Hinweise für seine Anwender veröffentlicht hat, die auf die Sicherheitsrelevanz schließen lassen. Die Software-Update-Funktion von Apple hat nur von Verbesserungen für die Zuverlässigkeit und Kompatibilität der Java-Plattform berichtet und nicht auf die eigentliche Dringlichkeit eines Downloads hingewiesen.

Kritiker werfen Apple in diesem Zusammenhang die Verharmlosung der eigenen Sicherheitsprobleme vor, zu Lasten von Millionen von Apple-Nutzern, die weiterhin bereits aktiv ausgenutzten Schwachstellen ausgesetzt seien. Die Erfahrung habe leider gezeigt, dass viele Anwender Updates überspringen, wenn diese keine deutlichen Sicherheitshinweise enthalten.