Für die Druckfunktionen von Mac OS X verwendet Apple in erster Linie das Common Unix Printing System (CUPS) – aus diesem Grund hat Apple CUPS im letzten Jahr gekauft. Umso peinlicher war es, als Apple Ende 2007 nicht in der Lage war, ein CUPS-Sicherheitsproblem innert nützlicher Frist zu beheben. In diesem Zusammenhang erstaunt, dass Mac OS X «Leopard» auch jetzt wieder eine veraltete Version von CUPS verwendet …
… die aktuelle stabile CUPS-Version ist 1.3.7 (siehe unten), Mac OS X hingegen verwendet noch 1.3.5 (siehe oben) … 
Ich konnte dem Changelog nur entnehmen, dass einige Sicherheitslücken und Bugs behoben worden sind. Ob diese für den Mac relevant sind (speziell in WANs, nicht lokalen Netzen), ist fraglich, da in der Regel CUPS-Ports nicht extern geroutet werden.
Natürlich ist es nicht gut, dass Apple gerade bei den integrierten OSS-Anwendungen hinterherhinkt. Bei CUPS ist eine enge Integration ins System Voraussetzung, um mit Mac OS zu funktionieren. Wenn die Programmierer in Cupertino aber an zig Stellen das Rad quasi neu erfinden müssen, um ein kleines Update (Unterversion 1.3.x) zu integrieren, dann dürfte das länger dauern, als sonst. Und gerade bei OSS muss ein Hersteller wie Apple viel mehr Qualitätssicherung betreiben, um nicht durch einen kleinen Lapsus Millionen von Mac-Anwendern die Drucker lahmzulegen.
Ein weiterer Punkt ist auch die Kompatibilität der Frameworks und APIs. Wenn eine Systemversion (aktuell 10.5.2) veröffentlich wird, kann nicht einfach an den Programmschnittstellen klammheimlich etwas geändert werden. Da muss dann eine neue Subversion her und für die stehen eh noch einige Bugreports von anderen Stellen an. So versucht man immer, möglichst viele Probleme in einem großen Release anzugehen. Die Folge wäre sonst eine Update-Flut und wachsende Inkompatibilität der neu entwickelten und bestehenden Software. Aktuelle Firmenpolitik bei Apple ist ja auch unter anderem, nur grundlegend neue Features in sog. Major Releases, also neuen Systemversionen wie 10.4 oder 10.5 zu integrieren, damit eben nicht bestimmte Software, die für 10.5.1 geschrieben wurde, unter 10.5.2 plötzlich komplett streikt. – Für CUPS gilt das oben geschriebene nur teilweise, aber da es zu den Hintergrunddiensten zählt, wird es ähnlich von Apple behandelt.
Apple hat mittlerweile auch begriffen, dass sowas wie Sicherheit existiert und es ebenso Angriffspotential auf ihre Systeme gibt. Nur dauert dieser Prozess leider sehr lange. Ob das nun an Mr. Jobs und seinen Prioritäten liegt oder einfach an der bisherigen Nischenstellung von Mac OS X, will ich nicht beurteilen.
Ein halbwegs passender Kommentar bei Versiontracker zur aktuellen CUPS-Version (bezieht sich natürlich auf Endanwender, die Updates einspielen wollen):
@Patrick: Vielen Dank für Deine Anmerkungen, sehr informativ!
@MacMacken: Ich kanns mir einfach nicht verkneifen…Vielleicht recherchierst du das nächste mal besser, bevor du postest.. So gut ich das finde was du machst, so schade ist es, daß dir sowas passiert…
@cc: Was soll denn hier «passiert» sein? Aktuell ist CUPS 1.3.7, Mac OS X verwendet CUPS 1.3.5, das heisst eine veraltete Version … und bekanntlich resultieren viele Mac-Sicherheitsprobleme aus der Verwendung von Open Source-Software in veralteten Versionen (siehe dazu auch http://www.macmacken.com/2008/.....icherheit/).
Apple handelt in dem Fall als OSS-Distributor, ähnlich SuSE, Ubuntu und Red Hat. Da ist es Usus, außer der Reihe (d.h. außerhalb major upgrades) nur Sicherheitspatches einzupflegen und dabei die Versionsnummer _nicht_ anzutasten.
RH und SuSE (und Ubuntu teilweise auch) machen einzig bei “Leaf”-Applikationen wie z.B. dem Firefox da eine Ausnahme. Wenn SuSE mit SLES10 Cups 1.3.5 ausliefert, dann bleibt das auch Cups 1.3.5. Die Security-Patches werden rückportiert. Selten mal wird im Zuge eines Service Packs da eine Ausnahme gemacht. (SuSE liefert SLES10 übrigens mit Version 1.1.23)
Im Zweifel will der User wohl lieber funktionierende Druckertreiber als immer die allerneueste Version von irgendeinem Subsystem, von dem er im besten Fall die Versionsnummer sowieso nicht kennt.
Das Sicherheitsthema von Apple ist dabei auf einem anderen Blatt, und wenn Lücken nicht geschlossen werden ist das schwer verzeihlich. Aber nicht alle Lücken, die Bugtraq für 1.3.5 auflistet sind in einem aktuellen Leopard auch tatsächlich vorhanden. Wie oben schon erwähnt, patchen die Distributoren die Lücken, ohne die Versionsnummer zu ändern.
Wieder einmal lässt man nichts an Crapple kommen. Sperrt diese PR-Leute doch endlich aus!
Wer so ausführlich und sachlich kommentiert wie Patrick und Heiko, wird selbstverständlich nicht vom Kommentieren ausgeschlossen … ich blogge in erster Linie über das, was ich für Macken beim täglichen Arbeiten mit dem Mac halte. Andere Meinungen ergänzen meine Blogeinträge und was genau eine Macke darstellt, soll jeder MacMacken-Leser selbst entscheiden.
@Heiko
Word!
@”Anonymous”
Es ist traurig, wenn man nichts außer einer radikalen Meinung beizutragen hat und sich dann noch nicht mal mit einem Pseudonym (a.k.a. nick) zu erkennen geben will.
Fakten, Fakten, Fakten. Wer sachlich argumentiert, darf gerne anderer Meinung sein, das gehört ja auch zu einem Diskurs. Mir gefällt Apples Vorgehensweise bezüglich Sicherheitslücken auch nicht, aber Glaubenskriege müssen deswegen nicht losbrechen.
just my two cents…
@Patrick: Manchmal ist ein gewisser Zusammenhang zwischen vollständig pseudonymen Benutzern und der Qualität der entsprechenden Kommentare leider nicht zu leugnen … :roll: