Verstolperte Terminabsprache für Sicherheits-Updates zwischen iOS und OS X
iOS 7.1.1 stopft ein Dutzend Sicherheitslücken – gut. Das diese (WebKit-)Schwachstellen allerdings schon mit einem Safari-Update auf dem Desktop vor drei Wochen behoben und dokumentiert wurden, ist schlicht fahrlässig.
“I will not use iOS to drop 0day on OSX, nor use OSX to drop 0day on iOS”.
Drop a patch for one product that quite literally lists out, in order, the security vulnerabilities in your platform, and then fail to patch those weaknesses on your other range of products for weeks afterwards? You really don’t see anything wrong with this?
‚Goto Fail‘ hat es genau andersherum gemacht. Hier schlug das wichtige Sicherheits-Update für Mavericks erst vier Tage nach dem iOS-Fix auf.
Auch wenn es offensichtlich ist, schreibe ich es noch einmal aus: Die zeitliche Absprache solcher Veröffentlichungen müssen besser funktionieren.