Kurz bevor in den USA eine potenziell kritische Sicherheitslücke zum US-Präsidenten ernannt wird, veranstalten mehrere US-Unternehmen ihre ersten Patch Days des Jahres und hinterlassen dabei einen dem Zeitgeist angemessenen apokalyptischen Eindruck. Die Software von Google, Adobe und Oracle, so scheint es, liegt in Trümmern, wie es ansonsten nur die US-Demokraten tun.
Den Anfang machte in der vergangenen Woche Adobe. 42, in Worten zweiundvierzig als kritisch eingestufte Sicherheitslücken stopfte das Unternehmen mit Updates für seine Programme Flash, Acrobat und Reader. Allein 13 betrafen Flash, den failed state unter den Browser-Plugins.
Oracle setzt zahlenmäßig noch einen drauf: 270 (nein, kein Tippfehler) Sicherheitslücken beseitigt das aktuelle Patch-Paket, betroffen sind verschiedene Enterprise-Anwendungen, aber auch die jenseits von Oracles Unternehmenskunden verbreitete Plattform Java SE und das Datenbankverwaltungssystem MySQL.
Besonders bitter erscheint Googles erstes Update-Paket des Jahres für Android. 94 Sicherheitslücken im Betriebssystem, zehn davon kritisch, nennt und beseitigt Google darin. Die tückischste ließe sich von einem Angreifer dazu nutzen, ein Android-Smartphone mit einer einzigen E-Mail, Website oder MMS zu kapern.
Nun veröffentlicht Google seit August 2015 jeden Monat so ein Paket, und eine zweistellige Anzahl von Schwachstellen ist dabei nichts Ungewöhnliches. Aber die gruselige Mischung aus Qualität und Quantität im Januar-Paket lässt Experten aufstöhnen. Der Kryptographie-Professor Matthew Green tobte geradezu trumpesk auf Twitter: "Wie kann es sein, dass ein Betriebssystem, das weitgehend in einer 'sicheren' Progammiersprache geschrieben ist, so ein tire fire ist?" – "Ich weiß, die Antwort ist 'Die eine Hälfte wurde in C++ geschrieben und die andere von Affen', aber das kann nicht die einzige Erklärung sein." – "Man sagt, eine unendliche Anzahl von Affen, die ewig an Schreibmaschinen sitzt, wird irgendwann ein Shakespeare-Werk schreiben. Android sieht aus wie vier Affen und ein langes Wochenende."
Jeden Monat derselbe brennende Reifenhaufen
iPhone-Besitzer dürfen sich an dem Tweetstorm erfreuen. Android-Nutzer, die kein Google Pixel und kein Nexus-Modell haben, stehen hingegen vor demselben brennenden Reifenhaufen wie jeden Monat. Während Pixel- und Nexus-Geräte die Updates direkt von Google bekommen, hängt die Sicherheit aller anderen Modelle davon ab, ob und wann Hersteller und Mobilfunkprovider sie an ihre Kunden verteilen. Und das kann dauern.
Samsung zum Beispiel hat sein Update-Paket schon fertig, aber zunächst bekommen es nur die Besitzer von besonders teuren Samsung-Smartphones. LG bemüht sich ebenfalls um regelmäßige Updates, weist aber darauf hin, dass es erstens nicht alle Geräte berücksichtigt, und dass es zweitens von den Regionen und Providern abhängt, ob die Schwachstellen monatlich, einmal im Quartal oder "unregelmäßig" beseitigt werden. Andere Hersteller versprechen lieber gar nichts.
Die meisten Android-Nutzer jedenfalls werden heute, in den kommenden Tagen oder auch Wochen und Monaten immer die gleiche Meldung sehen:
Nach "Ich habe die Nutzungsbedingungen gelesen und verstanden" ist das die zweitgrößte Lüge im Internet.
Das ist das eigentliche Problem, nicht die Zahlen 42, 94 oder gar 270. Die bloße Anzahl der Schwachstellen einer Software sagt weniger über deren Sicherheit aus als der Umgang damit. Verteilt der Hersteller regelmäßig Updates an alle seine Kunden? Dann zeigt das, die Software wird intensiv untersucht und der Hersteller legt Wert darauf, sie zu verbessern. Man müsste deshalb sogar Adobe loben – wenn das Unternehmen mit seinem Januar-Update nicht auch ungefragt eine Browsererweiterung für Chrome verteilt hätte, die sogleich eine neue Sicherheitslücke enthielt.
Android aber wird nicht nur für twitternde Kryptographen wie ein Affenstall aussehen, so lange die Hardware-Hersteller und Mobilfunkbetreiber die Updates als vernachlässigbar behandeln.
Kurz bevor in den USA eine potenziell kritische Sicherheitslücke zum US-Präsidenten ernannt wird, veranstalten mehrere US-Unternehmen ihre ersten Patch Days des Jahres und hinterlassen dabei einen dem Zeitgeist angemessenen apokalyptischen Eindruck. Die Software von Google, Adobe und Oracle, so scheint es, liegt in Trümmern, wie es ansonsten nur die US-Demokraten tun.
Den Anfang machte in der vergangenen Woche Adobe. 42, in Worten zweiundvierzig als kritisch eingestufte Sicherheitslücken stopfte das Unternehmen mit Updates für seine Programme Flash, Acrobat und Reader. Allein 13 betrafen Flash, den failed state unter den Browser-Plugins.