ifun.de — Apple News seit 2001. 33 753 Artikel

"Project Zero" macht Druck

Wochenlanger Schlagabtausch: Apple und Google streiten um Bug-Veröffentlichung

13 Kommentare 13

Googles Internet-Sicherheitsteam, das sogenannte „Project Zero“, existiert seit dem Sommer 2014. Damals kündigte der Suchmaschinen-Riese an, zukünftig aggressiver auf Sicherheitslücken und Fehler in Drittanwendungen reagieren zu wollen, die den gezielten Abgriff von Daten ermöglichen würden.

Google

Googles Chris Evans schrieb damals:

[Online-Nutzer] sollten in der Lage sein das Internet ohne Angst zu benutzen und sich nicht darum sorgen müssen, dass Kriminelle oder staatliche Akteure Softwarefehler ausnutzt, um ihre Computer zu infizieren, Geheimnisse zu stehlen oder um ihre Kommunikation zu überwachen. Dennoch beobachten wir immer wieder die gezielte Ausnutzung von „Zero-Day“-Schwachstellen – etwa gegen Menschenrechtsaktivisten oder im Zuge der Industriespionage. Dies muss aufhören!

Seitdem geht Googles Sicherheitsteam nicht nur hausintern auf Fehlersuche, sondern kontaktiert auch Drittanbieter, deren (Software-)Produkte über Schwachstellen verfügen. Google setzt dabei auf Zeitdruck: Werden Fehler in Drittapplikationen ausfindig gemacht, gewährt der Suchmaschinen-Riese nur eine 90-Tage-Frist ehe die Erkenntnisse veröffentlicht werden.

Software-Anbieter die ins Visier des „Project Zero“ geraten müssen sich dann ins Zeug legen oder laufen Gefahr, durch die angedrohte Publikation Googles, mit massiven Image-Schäden konfrontiert zu werden.

Apple forderte mehrere Fristverlängerungen

Womit wir bei Apple angekommen sind. Am 2. Juni 2016 informierte das „Project Zero“ den iPhone-Hersteller über einen Bug im Apple- bzw. XNU-Kernel der sowohl unter iOS als auch unter macOS dazu führen konnte, dass Drittanwendungen aus ihren Sandboxes ausbrechen und weitgehende Systemrechte erlangen konnten. Eine Analyse des Fehlers hat Google jetzt unter der Überschrift task_t considered harmful veröffentlicht.

Was zum Tagesgeschäft in der Welt der Software-Produzenten gehört, führte jetzt jedoch zu einem Schlagabtausch zwischen Apple und Google, der ganze drei Meetings provozierte und sogar zur Kontaktaufnahme hochrangiger Manager beider Unternehmen führte. Während das „Project Zero“ an seines Disclosure-Frist von 90 Tagen festhalten wollte, forderte Apple mehrfach einen Aufschub der öffentlichen Kommunikation.

Letztlich vergingen nicht 90, sondern 146 Tage ehe Apple die fehlerbehebende macOS-Version 10.12.1 ausgeben und Google seinen Bericht „task_t considered harmful“ veröffentlichen konnte.

Die Chronik im Überblick

  • 2016-06-02 – Ian Beer reports „task_t considered harmful issue“ to Apple
  • 2016-06-30 – Apple requests 60 day disclosure extension.
  • 2016-07-12 – Project Zero declines disclosure extension request.
  • 2016-07-19 – Meeting with Apple to discuss disclosure timeline.
  • 2016-07-21 – Followup meeting with Apple to discuss disclosure timeline.
  • 2016-08-10 – Meeting with Apple to discuss proposed fix and disclosure timeline.
  • 2016-08-15 – Project Zero confirms publication date will be September 21, Apple acknowledges.
  • 2016-08-29 – Meeting with Apple to discuss technical details of (1) „short-term mitigation“ that will be shipped within disclosure deadline, and (2) „long-term fix“ that will be shipped after the disclosure deadline.
  • 2016-09-13 – Apple release the „short-term mitigation“ for iOS 10
  • 2016-09-13 – Apple requests a restriction on disclosed technical details to only those parts of the issue covered by the short-term mitigation.
  • 2016-09-14 – Project Zero confirms that it will disclose full details without restriction.
  • 2016-09-16 – Apple repeats request to withhold details from the disclosure, Project Zero confirms it will disclose full details.
  • 2016-09-17 – Apple requests that Project Zero delay disclosure until a security update in October.
  • 2016-09-18 – Apple’s senior leadership contacts Google’s senior leadership to request that Project Zero delay disclosure of the task_t issue
  • 2016-09-19 – Google grants a 5 week flexible disclosure extension.
  • 2016-09-20 – Apple release a „short-term mitigation“ for the task_t issue for MacOS 10.12
  • 2016-09-21 – Planned publication date passes.
  • 2016-10-03 – Apple publicly release long-term fix for the task_t issue in MacOS beta release version 10.12.1 beta 3.
  • 2016-10-24 – Apple release MacOS version 10.12.1
  • 2016-10-25 – Disclosure date of „task_t considered harmful“
Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
26. Okt 2016 um 15:38 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    13 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    13 Comments
    Älteste Kommentare
    Neuste Kommentare Meiste Stimmen
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 33753 Artikel in den vergangenen 7518 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2022 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven