Apple ignoriert offenbar Hinweise auf Sicherheitslücken

Auf der Full-Disclosure-Mailingliste bei Seclists.org hat sich der deutsche Sicherheitsexperte Stefan Schurtz beschwert, dass Apple einen Hinweis auf eine Cross-Site-Scripting-Lücke seit einem Monat ignoriert. Der Fehler finde sich weiter auf einer Apple-Store-Seite, schreibt Schurtz.

Schurtz hatte Apple in einer Mail vom 12. Mai verständigte und erhielt am dtag darauf eine Eingangsbestätigung. Zuvor hatte er die Anfälligkeit mit Internet Expolrer 8 und 10 sowie Google Chrome 27 getestet. Am 29. Mai hakte er noch einmal nach, und erhielt auch darauf eine Antwort. Da jedoch wochenlang nichts geschah, hat er sich jetzt entschieden, die Schwachstelle zu veröffentlichen.

Das Proof-of-Concept des Sicherheitsspezialisten basiert auf dem Document Object Model (DOM). Es versucht, clientseitig Javascript-Code im Browser auszuführen. So könnten, falls der Anwender eingeloggt ist, Cookies entführt und auch Konten übernommen werden. Ein Beispiel des Web Application Security Consortium führt dies im Detail aus.

Apple wurde schon öfter für seine zögerliche Reaktion bei Sicherheitsproblemen gerügt. Beispielsweise zögerte der Konzern auch im Fall des Trojaners Flashback lange. Kritiker fordern ein Belohnungsprogramm nach dem Muster, wie sie Google oder Facebook eingeführt haben. Dies würde Sicherheitsforscher ermutigen, Apple auf Lücken hinzuweisen – ist aber sinnlos, wenn Apple die Bereitschaft fehlt, eingehende Hinweise auch zu bearbeiten.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.