Apple ignoriert offenbar Hinweise auf Sicherheitslücken

SicherheitSicherheitsmanagement
apple-logo-schwarz (Bild: Apple)

Für eine XSS-Lücke im Apple Store liegt seit 12. Mai ein Proof-of-Concept vor. Apple hat den Empfang des Hinweises zwar bestätigt, aber darüber hinaus nichts unternommen. Der deutsche Sicherheitsexperte Stefan Schurtz hat sie deshalb jetzt veröffentlicht.

Auf der Full-Disclosure-Mailingliste bei Seclists.org hat sich der deutsche Sicherheitsexperte Stefan Schurtz beschwert, dass Apple einen Hinweis auf eine Cross-Site-Scripting-Lücke seit einem Monat ignoriert. Der Fehler finde sich weiter auf einer Apple-Store-Seite, schreibt Schurtz.

apple-logo-schwarz

Schurtz hatte Apple in einer Mail vom 12. Mai verständigte und erhielt am dtag darauf eine Eingangsbestätigung. Zuvor hatte er die Anfälligkeit mit Internet Expolrer 8 und 10 sowie Google Chrome 27 getestet. Am 29. Mai hakte er noch einmal nach, und erhielt auch darauf eine Antwort. Da jedoch wochenlang nichts geschah, hat er sich jetzt entschieden, die Schwachstelle zu veröffentlichen.

Das Proof-of-Concept des Sicherheitsspezialisten basiert auf dem Document Object Model (DOM). Es versucht, clientseitig Javascript-Code im Browser auszuführen. So könnten, falls der Anwender eingeloggt ist, Cookies entführt und auch Konten übernommen werden. Ein Beispiel des Web Application Security Consortium führt dies im Detail aus.

Apple wurde schon öfter für seine zögerliche Reaktion bei Sicherheitsproblemen gerügt. Beispielsweise zögerte der Konzern auch im Fall des Trojaners Flashback lange. Kritiker fordern ein Belohnungsprogramm nach dem Muster, wie sie Google oder Facebook eingeführt haben. Dies würde Sicherheitsforscher ermutigen, Apple auf Lücken hinzuweisen – ist aber sinnlos, wenn Apple die Bereitschaft fehlt, eingehende Hinweise auch zu bearbeiten.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen