Open Source im professionellen Einsatz

Entwickler bemängelt Update-Situation von Webkit-Ports

03.02.2016

Der Entwickler Michael Catanzaro beleuchtet die seiner Meinung nach völlig unzulängliche Update-Politik von Webkit-Ports wie etwa WebkitGTK. Das Einspielen von Sicherheitsupdates finde auch bei Distributionen, die diese Webkit-Ports nutzen, selten, spät oder nie statt.

266

Michael Catanzaro, der unter anderem Fedora-Maintainer ist und bei der Open-Source-Consultin-Firma Igalia arbeitet, legt in seinem ausführlichen Blogpost als an der Entwicklung beteiligter den Finger in mehrere Wunden, was die Nutzung der Apple-Webengine Webkit außerhalb des Apple-Zugriffs betrifft, also in den Ports für Linux und Windows und in Geräten des Internet of Things. Apple selbst bescheinigt Catanzaro dagegen eine gute Pflege von Webkit. Anders sieht es bei der Entwicklung der Ports aus und bei den Updates für die Distributionen.

Catanzaro sieht schon die Pflege der Ports selbst als vergleichsweise verheerend an. Nachdem Apple auf sein Bitten hin Daten zu CVE-Einträgen geliefert habe und diese mit den Bugzilla-Einträgen in Verbindung gebracht worden seien, habe man eine Liste ,mit 130 Sicherheitsproblemen für WebkitGTK erstellen können. Man müsse einschränken, dass einige Probleme nur Apple-spezifisch seien, insbesondere im Crossplattform-Code stecke aber jede Menge Zündstoff. Dass die Problematik hausgemacht ist, gibt Catanzaro zu, es sei erst Anfang 2015 damit begonnen worden, überhaupt CVE-Nummern zu vergeben. Das Resultat war das erste Security-Advisorys mit den 130 CVE-Identifiern.Ohne Advisory mit CVE-Identifiern sei eine Reaktion der Hersteller und der Distributionen ohnehin nicht zu erwarten.

Das nächste Sicherheitsproblem seien die Distributionen und deren Update-Politik, jetzt wo es ein Advisory gäbe. Nur bei Fedora sei eine aktueller WebkitGTK-Fassung an Bord und dies auch nur, weil er der Fedora-Maintainer sei. Ubuntu etwa liefere in der aktuellen Release Ubuntu 15.10 WebkitGTK 2.8.5 aus, das bekanntermaßen mit 40 Bugs behaftet sei, die mit neueren Versionen behoben sind. Ubuntu sei als eine der größten Distributionen nur exemplarisch genannt, betont Catanzaro.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 01/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.