{"id":99291,"date":"2016-10-26T15:38:20","date_gmt":"2016-10-26T13:38:20","guid":{"rendered":"http:\/\/www.ifun.de\/?p=99291"},"modified":"2016-10-26T15:38:29","modified_gmt":"2016-10-26T13:38:29","slug":"wochenlanger-schlagabtausch-apple-und-google-streiten-um-bug-veroeffentlichung","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/wochenlanger-schlagabtausch-apple-und-google-streiten-um-bug-veroeffentlichung-99291\/","title":{"rendered":"Wochenlanger Schlagabtausch: Apple und Google streiten um Bug-Ver\u00f6ffentlichung"},"content":{"rendered":"

Googles Internet-Sicherheitsteam, das sogenannte „Project Zero“, existiert seit dem Sommer 2014. Damals k\u00fcndigte der Suchmaschinen-Riese an, zuk\u00fcnftig aggressiver auf Sicherheitsl\u00fccken und Fehler in Drittanwendungen reagieren zu wollen, die den gezielten Abgriff von Daten erm\u00f6glichen w\u00fcrden.<\/p>\n

\"Google\"<\/a><\/p>\n

Googles Chris Evans schrieb damals<\/a>:<\/p>\n

[Online-Nutzer] sollten in der Lage sein das Internet ohne Angst zu benutzen und sich nicht darum sorgen m\u00fcssen, dass Kriminelle oder staatliche Akteure Softwarefehler ausnutzt, um ihre Computer zu infizieren, Geheimnisse zu stehlen oder um ihre Kommunikation zu \u00fcberwachen. Dennoch beobachten wir immer wieder die gezielte Ausnutzung von „Zero-Day“-Schwachstellen – etwa gegen Menschenrechtsaktivisten oder im Zuge der Industriespionage. Dies muss aufh\u00f6ren!<\/p><\/blockquote>\n

Seitdem geht Googles Sicherheitsteam nicht nur hausintern auf Fehlersuche, sondern kontaktiert auch Drittanbieter, deren (Software-)Produkte \u00fcber Schwachstellen verf\u00fcgen. Google setzt dabei auf Zeitdruck: Werden Fehler in Drittapplikationen ausfindig gemacht, gew\u00e4hrt der Suchmaschinen-Riese nur eine 90-Tage-Frist ehe die Erkenntnisse ver\u00f6ffentlicht werden.<\/p>\n

Software-Anbieter die ins Visier des „Project Zero“ geraten m\u00fcssen sich dann ins Zeug legen oder laufen Gefahr, durch die angedrohte Publikation Googles, mit massiven Image-Sch\u00e4den konfrontiert zu werden.<\/p>\n

<\/h2>\n

Apple forderte mehrere Fristverl\u00e4ngerungen<\/h2>\n

Womit wir bei Apple angekommen sind. Am 2. Juni 2016 informierte<\/a> das „Project Zero“ den iPhone-Hersteller \u00fcber einen Bug im Apple- bzw. XNU-Kernel der sowohl unter iOS<\/a> als auch unter macOS dazu f\u00fchren konnte, dass Drittanwendungen aus ihren Sandboxes ausbrechen und weitgehende Systemrechte erlangen konnten. Eine Analyse des Fehlers hat Google jetzt unter der \u00dcberschrift task_t considered harmful<\/a> ver\u00f6ffentlicht.<\/p>\n

Was zum Tagesgesch\u00e4ft in der Welt der Software-Produzenten geh\u00f6rt, f\u00fchrte jetzt jedoch zu einem Schlagabtausch zwischen Apple und Google, der ganze drei Meetings provozierte und sogar zur Kontaktaufnahme hochrangiger Manager beider Unternehmen f\u00fchrte. W\u00e4hrend das „Project Zero“ an seines Disclosure-Frist von 90 Tagen festhalten wollte, forderte Apple mehrfach einen Aufschub der \u00f6ffentlichen Kommunikation.<\/p>\n

Letztlich vergingen nicht 90, sondern 146 Tage ehe Apple die fehlerbehebende macOS-Version 10.12.1 ausgeben<\/a> und Google seinen Bericht „task_t considered harmful“ ver\u00f6ffentlichen konnte<\/a>.<\/p>\n

Die Chronik im \u00dcberblick<\/h2>\n