Dipl.-Inform. Carsten Eilers

Vorige Woche veröffentlichte Adobe Version 11.3 des Flash Players. Auf den ersten Blick hat Adobe beim Testen nicht richtig aufgepasst, denn diese Version legt Firefox 13 lahm. Ursache waren zumindest zum Teil Wechselwirkungen mit anderen Plugins - etwas, was sich im Labor nicht wirklich zuverlässig prüfen lässt, da es einfach zu viele Kombinationsmöglichkeiten gibt.

Das besonders problematische "RealPlayer Browser Record"-Plugin wurde von Mozilla auf die Blocklist gesetzt (und das gleich zwei mal), so dass es beim nächsten Start des Browsers automatisch deaktiviert wird. Für die Benutzer, bei denen dieses Plugin Auslöser der Abstürze war, eine brauchbare Lösung, für alle anderen änderte sich dadurch aber nichts.

Adobe veröffentlichte sogar eine Anleitung zur Installation einer älteren Flash-Player-Version, die ist aber natürlich nur für die Benutzer hilfreich gewesen, die noch ins Web konnten. Zum Glück haben die meisten ja mehr als einen Browser auf der Platte, so dass der Fehler keine gravierenden Auswirkungen hatte.

Ein Fehler übrigens, der inzwischen zumindest teilweise durch ein Update behoben wurde. Für Firefox, nicht für den Flash Player. Allerdings behebt das auch nur ein Problem (Firefox stürzt beim Beenden ab), ein oder mehrere weitere bestehen noch.

Nun werden viele sagen, dass ein abstürzender Browser nicht unbedingt kritisch ist. Für diejenigen, deren einziger es ist, sieht das aber ganz anders aus. Außerdem ist es ja nur ein Beispiel, dass mir hier als "Aufhänger" dienen soll. Ein weiteres hat Apple in der vorigen Woche geliefert:

Thunderbolt-Update legt Mac OS X lahm

Ein Update für Macs mit Thunderbolt-Schnittstelle sollte die Kompatibilität mit Apples neuem Ethernet- und FireWire 800-Adapter herstellen. Das ging in manchen Fällen schief, so dass der Mac nach der Installation des Updates nicht mehr startete. Die Lösung des Problems besteht in einer Neuinstallation des Betriebssystems bzw. der Installation eines hoffentlich vorhandenen Updates. Inzwischen hat Apple das Update zurückgezogen.

"Banana-Ware"...

Auf dem ersten Blick sind diese fehlerhaften Updates ein klarer Fall von "Banana-Ware" - "Reift beim Kunden". Adobe hätte sicher besser prüfen können, ob das Update zu Problemen führt. Vor allem, da zumindest zum Teil der neu eingeführte "Protected Mode" der Auslöser dafür zu sein scheint. Aber wie schon oben erwähnt, gibt es einfach zu viele Kombinationsmöglichkeiten für Plugins, um sie wirklich alle zuverlässig zu testen. Jedenfalls dann, wenn man das Update in absehbarer Zeit veröffentlichen und/oder nicht für jedes Update Unsummen für die Tests ausgeben will. Mit reichlich Zeit und/oder Testkapazitäten lässt sich jedes Problem früher oder später finden, aber wer soll bzw. will das bezahlen bzw. so lange warten?

Etwas anders sieht es bei Apple aus. Das ein Update das eigene System lahm legt, darf einfach nicht unentdeckt bleiben. Wer, wenn nicht Apple, sollte so ein Problem frühzeitig entdecken? Immerhin reden wir hier nicht von Windows, das auf zig verschiedenen Hardwarekombinationen laufen muss, über die Microsoft zum größten Teil wenig bis nichts weiß, sondern von Mac OS X und Macs. Wenn es bei einem Windows-Update Probleme mit mehr oder weniger exotischen BIOS/Firmware/Was-weiß-ich-Kombinationen gibt, ist das verständlich. Aber Apple hat den großen Vorteil, die eingesetzte Hardware sehr genau zu kennen. Wenn ein Update dann trotzdem zu einer Kernelpanic führt und es dann noch einige Tage dauert, bis überhaupt erkannt wird, das es ein Problem gibt, ist das inakzeptabel.

... muss draußen bleiben

Auf jeden Fall zeigen diese zwei Beispiele (von denen es in der Vergangenheit ja schon etliche mehr gab), dass man i.A. gut beraten ist, nicht jedes Update sofort zu installieren. Zumindest nicht auf produktiv eingesetzten Rechnern, auf Testsystemen sieht das ganze natürlich anders aus. Aber wie viele der normalen Benutzer haben denn ein Testsystem? Vermutlich dürfte der Prozentsatz mit einer 0 vor dem Komma anfangen, und es würde mich nicht wundern, wenn auch danach erst mal noch eine 0 kommt.

Wer auf seinen Rechner angewiesen ist, sollte nach der Veröffentlichung von Updates erst mal eine gewisse Zeit auf mögliche Problemberichte warten, bevor er das Update installiert. Nicht umsonst werden Updates in größeren Unternehmen erst getestet, bevor sie allgemein zur Installation frei gegeben werden. Wer kein eigenes Testsystem hat, kann diese Tests in die "Cloud" verlagern, die allgemein als Internet bezeichnet wird. Es gibt immer genug Benutzer, die Updates sofort installieren und damit unfreiwillig als Versuchskaninchen agieren.

Wer schlau ist, wartet einige Zeit, und installiert die Updates erst, wenn es keine Fehlermeldungen gibt. Das schließt zwar nicht aus, dass es dann ausgerechnet auf dem eigenen Rechner doch ein Problem gibt, aber alle allgemeinen Probleme haben dann die anderen Benutzer bereits entdeckt.

Etwas anders sieht es natürlich bei Updates zum Beheben kritischer, bereits für Angriffe ausgenutzter Schwachstellen aus. Dann muss man sich entscheiden, was gefährlicher bzw. wahrscheinlicher ist: Opfer eines Angriffs zu werden oder den Rechner mit dem Update lahm zu legen. Meist kann man auch dann zumindest eine kurze Zeit warten, bevor man das Update installiert.

Automatisches Updaten? Ausschalten!

Das geht natürlich nur, wenn die Updates nicht automatisch installiert werden. Es spricht nichts dagegen, den Benutzer über ein Update zu informieren. Ob und wann das installiert wird, ist dann aber seine Entscheidung. Software, die sich selbst aktualisiert, womöglich noch heimlich im Hintergrund, ist eindeutig ein Sicherheitsrisiko: Sie gefährdet das Schutzziel der Verfügbarkeit. Wieso einige Hersteller trotzdem automatische Updates, teilweise sogar "heimliche", propagieren, ist mir ein Rätsel. Was die wohl sagen, wenn so ein Update zu einem Problem führt und sie in den USA auf Schadenersatz verklagt werden?

Oracle patcht Java - und Apple zieht sofort mit!

Und weil ich gerade bei Updates und Apple bin: Oracle hat Updates für Java veröffentlicht, die u.a. mehrere als kritisch eingestufte Schwachstellen beheben. Was beim letzten Java-Update mit der Mac-Variante passierte, wissen wir ja noch zu gut. Nach Oracles Ankündigung fragte ich mich, wie lange Apple wohl diesmal brauchen würde, die Mac-Version frei zu geben. Und, Tusch bitte, da war sie auch schon: Oracles am 12. Juni veröffentlichtes Update wurde von Apple für Mac OS X Snow Leopard (10.6) und Lion (10.7) frei gegeben - am 12. Juni! Es geht also, wenn man nur will. Und bisher gibt es auch keine Berichte über Inkompatibilitäten, man kann das Update also wohl unbesorgt installieren.

Carsten Eilers