Sicherlich gibt es Sicherheitslücken und Apple ist bei diesem Thema auch nicht immer im besten Licht, aber einfach nur mal wieder so ein bisschen Dreck werfen, Vorurteile pflegen etc.
Soll er die Lücken doch veröffentlichen
Ich muss Neil Archibald aus eigener Erfahrung hier etwas in Schutz nehmen.
Es fast immer der "Journalist" oder das dahinterstehende Magazin - in diesem Fall macnews.de und ZDNet Australia - die darauf aus sind, "mit Dreck zu werfen", um ihre Werbeeinnahmen zu erhöhen.
Es sieht üblicherweise so aus, dass das News-Magazin auf eigene Veranlassung hin Experten zu "interessanten" Fragen interviewt. Die Experten antworten nach bestem Wissen und Gewissen mit den Fakten, die sie kennen, normalerweise völlig neutral und ohne Wertung.
Sind die gesammelten Fakten unspektakulär, passiert nichts. Entdeckt man aber in einer Experten-Aussage, eine angebliche "Story", dann wird das ganze aufgebauscht und in einen reißerischen Artikel verwandelt. Gespickt mit echten Zitaten wird die Sache so hingestellt, als hätte der Experte sich aus seiner Initiative heraus an die Presse gewandt, um Kritik an einer Institution (hier: an Apple) und den "ach so katastrophalen Zuständen" zu üben, was natürlich so überhaupt nie passiert ist.
Der "Journalist" ist fein raus, denn er "zitiert" ja nur Expertenmeinungen. Bei den Fans der angeblich kritisierten Institution steht jedoch nun der Experte als Buhmann da, obwohl er nur Auskunft über die ihm bekannte Faktenlage gegeben hat.
Fakt ist: Apple wurde von SureSec - wie es in der Industrie Usus ist - über alle entdeckten Sicherheitsprobleme vertraulich informiert. Der dsidentity-Bug wurde zum Beispiel am 25.05.2005 an Apple gemeldet. Apples Security-Team schickt einem dann üblicherweise die Antwort "Because of the potentially sensitive nature of security vulnerabilities, we ask that this information remain between you and Apple while we investigate it further." zurück, bittet also darum, die Sache nicht zu veröffentlichen. Behoben wurde der Fehler erst mit dem Security-Update 2005-007 am 17.08.2005. Die Natur des Sicherheitsproblems wurde von SureSec und Apple am gleichen Tag veröffentlicht.
Man kann jetzt darüber streiten, ob 11 Wochen zur Korrektur eines solchen Fehlers angemessen sind...
