Microsoft hat im Dezember 57 Sicherheitslücken in Windows nebst Medienbibliothek, Office samt Office Services und Web Apps, Edge (EdgeHTML) samt ChakraCore, dem Exchange Server, Dynamics, Azure (DevOps, SDK und Sphere) und Visual Studio geschlossen. Dazu kommt ein Sicherheitshinweis aufgrund von Angriffen auf den Windows-DNS-Resolver, bei denen DNS-Cache-Poisoning durch IP-Fragmentierung zum Einsatz kommt.

Neun der 57 Sicherheitslücken sind kritischer Natur, 46 bergen eine hohe Gefahr und zwei Schwachstellen gelten als mittelschwer. Das eingangs erwähnte DNS-Cache-Poisoning wurde ebenfalls als hohes Risiko eingestuft. Unter den hochgefährlichen Fehlern finden sich je 14 Code-Ausführungen und Rechteausweitungen, neun Datenlecks, sechs Möglichkeiten zum Umgehen von Sicherheitsmaßnahmen sowie vier Spoofing-Angriffe. Die beiden mittelschweren Probleme fallen ebenfalls in die Kategorie Spoofing.

Kommen wir nun zu den neun kritischen Fehlern:

• CVE-2020-17095: Mit Hilfe speziell gestalteter Anwendungen kann ein Hyper-V-Gast beliebigen Code auf dem Host ausführen. Dazu werden manipulierte vSMB-Pakete eingesetzt. Betroffen sind Windows 10 Version 1607 bis 20H2 inklusive der Server-Varianten. Diese Schwachstelle wurde bisher nicht öffentlich dokumentiert und aufgrund der Komplexität hält Micrsoft Angriffe für weniger wahrscheinlich.
• CVE-2020-17117, CVE-2020-17132, CVE-2020-17142: Angemeldete Benutzer können den Exchange-Servern 2013, 2016 und 2019 beliebigen Code unterschieben. Beispielhafte Exploits von Steven Seeley, Markus Vervier, Yasar Klawohn und Pham Van Khanh liegen Microsoft intern vor, öffentlich gemacht wurde diese nicht. In Redmond geht man nicht davon aus, dass diese Fehler in nächster Zeit ausgenutzt werden.
• CVE-2020-17118: Ein sehr attraktives Ziel ist dieser Fehler in SharePoint Foundation 2010 und 2013, dem SharePoint Enterprise Server 2016 und dem SharePoint Server 2019. Der Angriff ist simpel, erfolgt über das Netzwerk und bedarf keiner besonderen Berechtigungen. Es reicht aus, den Benutzer zu täuschen und schon läuft der Schadcode - und das macht baldige Angriffe wahrscheinlich.
• CVE-2020-17121: Über einen weiteren Remote-Code-Angriff auf SharePoint Foundation 2010 und 2013, dem SharePoint Enterprise Server 2016 und dem SharePoint Server 2019 wurde Microsoft von Trend Micros Zero Day Initiative informiert. Hierbei erstellt ein Angreifer ohne irgendwelche Privilegien eine Webseite und kann seinen Code sogar mit Kernel-Rechten ausführen. Da die Anforderungen gering sind, geht man bei Microsoft von baldigen Angriffen aus.
• CVE-2020-17131: Bruno Keith von Trend Micros Zero Day Initiative hat eine Speichermanipulation in der Chakra-Skript-Engine provoziert, über die er beliebigen Code in Microsoft Edge (EdgeHTML-based) und ChakraCore ausführen kann. Allerdings muss der Benutzer auf eine speziell gestaltete Webseite gelockt werden und der Angriff ist auch alles andere als trivial, was eine Ausnutzung erschwert.
• CVE-2020-17152, CVE-2020-17158: Ha Anh Hoang von Viettel Cybersecurity hat sich lokale Installationen von Microsoft Dynamics 365 for Finance and Operations vorgenommen und dabei zwei simple Möglichkeiten entdeckt, wie angemeldete Benutzer ohne besondere Rechte eigenen Code ausführen können. Obwohl dieses Problem noch nicht publik gemacht wurde, muss man mit baldigen Angriffen rechnen.

Die offizielle Corona-Warn-App für Deutschland wird von SAP und der Telekom-Tochter T-Systems als Open-Source-Projekt entwickelt. Den Quellcode für die Apps (Android und iOS) und das Server-Backend kann jeder auf GitHub einsehen. Doch die eigentliche Kontakterfassung erfolgt über Googles Exposure Notification Framework und dessen Code ist geschlossen und proprietär. Eine komplett quelloffene und Google-freie Alternative wurde nun im freien App-Store F-Droid bereitgestellt.

Corona-Kontaktverfolgung erstmals ohne Google Play Services
Die App Corona Tracing - Corona-Kontaktverfolgung in Deutschland kann man wahlweise über den F-Droid-Store installieren oder direkt als APK-Paket herunterladen. Es handelt sich um einen Fork der offiziellen Corona-Warn-App, welcher dieser auch weitgehend entspricht. Lediglich die Zugriffe auf Googles Exposure Notification Framework wurden auf eine offene Implementierung im Rahmen des microG GmsCore (ab Version 0.2.14) umgeleitet. Dieser dient als Ersatz für die Google Play Services, deren Bestandteil das Exposure Notification Framework ist. Smartphones ohne Google Play Services können somit erstmals die Corona-Kontaktverfolgung in Deutschland nutzen.

Auch mit Google Play Services bleibt Google außen vor
Läuft auf dem Smartphone ein normales Android mit Google Play Services, gibt es kein microG GmsCore und die Kontakterfassung würde wieder über Google laufen. Das ist natürlich nicht im Sinne der Entwickler und daher wurde die App Corona Tracing - Corona-Kontaktverfolgung in Deutschland mit einer eigenständigen Version der microG-Implementierung versehen. Wird auf dem Telefon kein microG GmsCore gefunden, verwendet die App ihre integrierte microG-Implementierung und stellt somit sicher, dass Google auch in diesem Fall außen vor bleibt. Eine vollständig quelloffene Corona-Kontaktverfolgung ist somit für alle Android-Nutzer verfügbar und soll zukünftig auch auf Android 5 ausgeweitet werden.

Praktische Tipps
Wer die offizielle Corona-Warn-App für Deutschland verwendet, sollte die F-Droid-Alternative zunächst parallel installieren, denn die Begegnungen der vergangenen 14 Tage werden von der neuen App nicht übernommen. Stattdessen legt sie ihren eigenen Datensatz an und sollte nach ein bis drei Tagen einen Risiko-Status anzeigen. Während der Installation bittet Corona Tracing - Corona-Kontaktverfolgung in Deutschland um Zugriff auf die Standortdaten. Die App erfasst zwar keine Standortdaten, doch Google hat das Bluetooth-Scanning bis einschließlich Android 10 den Ortungsdiensten zugeordnet. Erst mit Android 11 wurde eine weiße Liste mit Apps, die Bluetooth-Scanning ohne weitere Freigaben nutzen können, eingeführt, doch eine solche Freigabe fehlt der F-Droid-Alternative. Folglich muss der Standortzugriff erlaubt werden.

Download

• App-Download bei F-Droid: Corona Tracing - Corona-Kontaktverfolgung in Deutschland
• Quellcode-Download bei Codeberg: Corona-Contact-Tracing-Germany

Die Freigabe des finalen LibreOffice 7.0.4 ist für die kommende Woche geplant. Vorab soll es noch einen zweiten Veröffentlichungskandidaten geben, bisher liegt aber nur der erste vor. Dies gilt auch für den Quellcode auf dem Entwicklungsserver. LibreOffice 7.1.0 Beta 1 hat derweil den Sprung vom Entwicklungsserver auf den offiziellen Downloadserver geschafft.

LibreOffice 7.0.4 RC 1 umfasst 105 Korrekturen, von denen sich 19 um potentielle Absturzursachen kümmern. So konnte es beim Ausschneiden von Diagrammen, beim Ändern von Diagrammparametern, beim Schließen der Tabellenvorschau und beim Ausführen von Basic-Makros zum Crash kommen. Sowohl das Anwenden von Formatvorlagen auf Tabellenzellen als auch das Öffnen des Druckdialogs führte unter GTK3 zum Absturz und das Drucken unter Qt5 ließ den Writer abfliegen. Weitere Problemstellen offenbarten sich beim Rückgängigmachen bestimmter Aktionen sowie beim Schließen bestimmter Fenster.

Fünf Fehlerbereinigungen verbessern das Zusammenspiel mit Microsofts .DOCX-Format. So gehen Bildpfade beim DOCX-Import nicht mehr verloren und beim Öffnen bleibt die Position der Bilder vorhanden. Verankerte Formen lassen Tabellenabsätze beim DOCX-Export nicht verrutschen und beim Kopieren von Bildern mit Beschriftungstext werden die Bilder nicht doppelt kopiert. Beim Import von .PPTX-Präsentationen bleiben Farbwechsel nach transparent (EMF+, Enhanced Metafile Format Plus Extensions) erhalten. Dies hatte bisher nur beim .PPT-Format funktioniert. Die Textverarbeitung Writer stolpert beim PDF-Export nicht mehr über CJK-Schriftarten und RTF-Texte mit Textrahmen können wieder geöffnet werden. Zudem rücken Tabellen in .RTF-Dateien nicht mehr nach links.

LibreOffice 7.1.0 ist für die erste Woche des Februar 2021 terminiert und liegt aktuell in einer ersten Beta-Fassung für Windows, macOS und Linux zum Download bereit. Seit LibreOffice 7.1.0 Alpha 1 wurden 246 Änderungen vorgenommen, darunter finden sich auch Maßnahmen gegen 26 potentielle Absturzursachen. Für die Alpha-Ausgabe wurden bereits 788 Änderungen aufgeführt. Auch das Zusammenspiel mit Microsofts Dateiformaten wurde wieder verbessert: 16 Korrekturen beziehen sich auf .DOCX-Dokumente, acht auf .XLSX-Tabellen und drei auf .PPTX-Präsentationen. Legte man im Writer Tabellen mit zu vielen Spalten an, ließ dies die Software einfrieren. Dies wird nun abgefangen.

LibreOffice 7.1.0 Beta 1 läuft ganz ordentlich, sollte aber dennoch nicht zum Produktiveinsatz kommen. Ab Mitte Dezember ist mit einem ersten Veröffentlichungskandidaten zu rechnen. Zwei weitere sollen zwischen dem 11. und 17. Januar 2021 sowie zwischen dem 25. und 31. Januar 2021 folgen. Die Freigabe des fertigen LibreOffice 7.1.0 ist für die Woche vom 1. bis zum 7. Februar 2021 geplant. Mit dem Umstieg von der aktuellen Entwicklungsschiene 7.0 hat es dennoch keine Eile, da diese zumindest bis zum 6. Juni 2021 gepflegt wird.

Download:

• LibreOffice 7.0.4 RC 1 (im abschließenden Test)
• LibreOffice 7.1.0 Beta 1 (frühe Testversion)

In genau einer Woche, also am 15. Dezember 2020, soll der finale Firefox 84.0 veröffentlicht werden und ein erster Finalkandidat liegt bereits zum Ausprobieren bereit. Der Firefox 84.0 bringt native Unterstützung für Apples ersten Mac-Prozessor, den Silicon M1. Dieser wird in den kürzlich vorgestellten 2020er-Varianten von MacBook Air, MacBook Pro und Mac mini verbaut.

Mozillas neuer Compositor namens WebRender ist nun auch unter Linux in Kombination mit GNOME und X11 standardmäßig aktiviert. WebRender wurde in Mozillas Programmiersprache Rust entwickelt und setzt viel stärker auf den Grafikprozessor, was in erster Linie Geschwindigkeitsvorteile bringt, aber auch die Akku-Laufzeit verlängern kann. Ein Fossil aus den urzeitlichen Sümpfen des Internets geistert derweil ein letztes Mal durch den Firefox: Adobe wird zum Jahresende den Support für Flash einstellen und daher wird Flash vollständig aus dem kommenden Firefox 85.0 entfernt werden. Neue Profile laden nun innerhalb eines Tages alle vertrauenswürdigen Zwischenzertifizierungsstellen von Mozilla aus den Remote-Einstellungen. Bisher wurde dieser Prozess über mehrere Wochen verteilt, so dass neue Firefox-Nutzer auf falsch konfigurierten Webseiten über Sicherheitsfehler stolpern konnten.

Download: Firefox 84.0 Finalkandiat 1

Während uns bei den DDR4-Chips ein Stromausfall einen weiteren Preisverfall zum Jahresendspurt verhagelt hat, ist Flash-Speicher am Spot-Markt in Taiwan wieder etwas billiger geworden. Dies gilt sowohl für die MLC-Chips als auch für die 3D-TLC-Variante.

Für NAND-Chips des Typs 64Gb 8Gx8 MLC musste man heute durchschnittlich 2,407 US-Dollar auf den Tisch legen, was einem Abschlag von 2,19 Prozent entspricht. Zwischen Januar und März 2020 hatte es zunächst steigende Preise gegeben (+2,17%; +4,20%; +5,71%), dann begann im April eine Achterbahnfahrt (-2,42%; +6,31%; -14,43%; +13,11%) und ab August fiel der Kurs (-3,69%, -3,40%, -0,81%) bis es im November zu einer leichten Verteuerung um 0,37 Prozent kam. Blicken wir ein Jahr zurück, haben sich die 64Gb-MLC-Chips um 2,38 Prozent verteuert.

Die halbe Größe, also 32Gb 4Gx8 MLC, erzielte zuletzt einen Kurs von 1,943 US-Dollar. Auf eine recht bewegungsarme Entwicklung zwischen Februar und Mai 2020 (+2,74%; -0,39%; +0,39%; +2,59%), folgte von Juni bis August ein Preisverfall (-7,16%; -4,08%; -3,50%). Seit September geht es nun auf und ab (+3,58%; -6,48%; +0,66%, -2,36%). Der Rückblick auf Dezember 2019 zeigt uns allerdings eine Verbilligung um 13,91 Prozent.

Wer statt MLC die Variante 3D-TLC (Triple-Level Cell, 3 Bit pro Zelle) kauft, bekommt 256 Gb für 2,853 US-Dollar. Nach happigen Aufschlägen von 11,39, 6,85 und 5,21 Prozent zum Jahresanfang war der Kurs dieser Chips ab April 2020 (-0,38%; -2,72%; -1,14%; -4,38%, -4,33%, -3,23%) kontinuierlich gefallen. Nur im Oktober gab es einen geringfügigen Anstieg um 1,27 Prozent, dann folgten Abschläge von 0,54 und 2,66 Prozent im November und Dezember. Binnen Jahresfrist haben sich die 3D-TLC-Chips um 4,12 Prozent verteuert.

Wechselkurs und Ausblick
Bleibt noch die Frage nach dem Wechselkurs, denn Flash-Speicher wird in US-Dollar gehandelt: Gestern war ein Euro zum Handelsschluss 1,2123 US-Dollar wert und notierte damit um 1,98 Prozent stärker als Anfang November 2020. Zieht man den Vorjahreskurs zu Rate, hat der Euro sogar um 9,62 Prozent zugelegt. Während die Preise der DRAM-Chips erst einmal weiter anziehen dürften, erwarten wir für Flash-Speicher geringfügige Abschläge.

Am 3. Dezember 2020 war es in Microns Fab 11 zu einem gut einstündigen Stromausfall gekommen. Das Werk in Taoyuan City, Taiwan kam mit der Übernahme von Inotera zu Micron und verarbeitete zuletzt ca. 125.000 Wafer pro Monat. Dies entspricht rund neun Prozent der weltweiten DRAM-Produktion. Obwohl die Fab 11 hauptsächlich DDR4- und LPDDR4-Chips im 10-nm-Prozess fertigt, sind insbesondere die DDR3-Chips teurer geworden.

Für den Speichertyp DDR4-2400 8Gb 1Gx8 musste man heute im Schnitt 2,890 US-Dollar auf den Tisch legen, das sind 1,55 Prozent mehr als Anfang November. Zuletzt war der Kurs dieser Chips um 3,62 Prozent gefallen, nachdem wir im Oktober und September Aufschläge von 0,27 bzw. 12,88 Prozent gesehen hatten. Von Januar bis April 2020 hatte es bei diesen Chips einen sich abschwächenden Preisanstieg gegeben (+12,56%, +11,03%, +3,79%, +2,08%), ab Mai folgten dann Abschläge in einem ähnlichen Rahmen (-8,72%, -8,04%, -12,09%, -2,79%). Blicken wir ein Jahr zurück, so ist der Preis um 5,21 Prozent gestiegen.

Die halbe Speicherkapazität, also DDR4-2133/2400 4Gb 512Mx8, kostet momentan 1,724 US-Dollar und liegt damit um 2,74 Prozent über dem Kurs von November 2020. Bei diesen Chips hatte der Preisverfall schon im April (-4,51%) eingesetzt und bis November angehalten (-6,47%, -4,44%, -5,34%, -1,68%, -0,80%, -2,18%, -1,81%). Dennoch offenbart der Blick auf den Vorjahreswert nun wieder einen Anstieg um 4,80 Prozent.

Für die gleiche Größe, aber in Form von DDR3-1600/1866 4Gb 512Mx8, wurden zuletzt 1,664 US-Dollar gezahlt, was einem heftigen Preisanstieg von 12,66 Prozent entspricht. Nachdem dieser Kurs zwischen Januar und März 2020 immer stärker zugelegt hatte (+6,39%, +9,39%, +11,61%), folgte von April bis August ein kontinuierlicher Preisverfall (-9,28%, -5,93%, -5,71%, -5,10%, -3,96%). September (+2,66%), Oktober (-1,84%) und November (+2,43%) zeigten sich uneinheitlich. Binnen zwölf Monaten ist dieser Kurs um 10,79 Prozent gestiegen.

Wechselkurs und Ausblick
Bleibt noch die Frage nach dem Wechselkurs, denn Arbeitsspeicher wird in US-Dollar gehandelt: Gestern war ein Euro zum Handelsschluss 1,2123 US-Dollar wert und notierte damit um 1,98 Prozent stärker als Anfang November 2020. Zieht man den Vorjahreskurs zu Rate, hat der Euro sogar um 9,62 Prozent zugelegt. Die zukünftige Preisentwicklung wird weiterhin von der in vielen Teilen der Welt ungebremsten Corana-Pandemie geprägt. Kurzfristig werden jedoch die beim Stromausfall zerstörten Wafer das Überangebot verringern und die Preise steigen lassen.

Bezüglich der genannten Preise bitten wir zu beachten, dass hier von einzelnen Chips und keinesfalls von bestückten Modulen die Rede ist. Da diese Chips zunächst verarbeitet und danach verschifft werden, vergehen normalerweise einige Wochen, bevor sich Preisänderungen auch hierzulande bemerkbar machen.

Ian Beer, ein bekannter Sicherheitsforscher aus Googles Project Zero, hatte sechs Monate daheim im Lockdown genutzt, um drahtlos in ein iPhone einzubrechen. Er entdeckte einen Fehler, mit dessen Hilfe er jedes beliebige iOS-Gerät von außen ohne jegliche Nutzerinteraktion übernehmen und die Nutzerdaten stehlen konnte. Apple wurde frühzeitig informiert und konnte die Schwachstelle im Mai 2020 mit der Veröffentlichung von iOS 13.5 schließen.

Ein kleiner Fehler mit gewaltigen Folgen
In seinem stillen Kämmerlein hatte Beer Apples Programmcode in zeitraubender Handarbeit aufgedröselt und dabei einen trivialen Pufferüberlauf entdeckt. Der in C++ programmierte Kernel-Code verarbeitete nicht vertrauenswürdige Daten und ermöglichte es dem Sicherheitsexperten, eigenen Code mit Kernel-Rechten auszuführen. Er konnte dabei sämtliche Sicherheitsvorkehrungen des damaligen Flaggschiffs iPhone 11 Pro umgehen und Kernel-Speicher sowohl lesen als auch schreiben. Nur ein kleiner Fehler und das iPhone ließ sozusagen die Hosen fallen: Kein Bit der Benutzerdaten war vor Beer sicher! Ein absoluter Traum für Kriminelle, Ermittlungsbehörden und Geheimdienste. Doch es kommt noch besser bzw. schlimmer.

Ein Angriff über Funk
Speicherfehler, welche die Ausführung beliebigen Codes mit Kernel-Rechten ermöglichen, sind zwar selten, tauchen aber immer wieder auf. Oftmals benötigt der Angreifer direkten Zugriff auf das Gerät, zuweilen muss er den Benutzer zum Laden speziell präparierter Dateien oder zum Besuch bösartiger Webseiten verführen. Beers Angriff benötigt nichts von dem, was ihn besonders macht. Es reicht, wenn sich der Angreifer in der Nähe eines verwundbaren iOS-Gerätes befindet. Der Angriff erfolgt dann über AWDL (Apple Wireless Direct Link), ein proprietäres Funkprotokoll von Apple, welches auf WLAN, genauer gesagt IEEE 802.11g und 802.11a, basiert. Sollte AWDL nicht aktiviert sein, kann Beer dies über seinen Angriff ebenfalls erzwingen. Die einzige Voraussetzung lautet: Seit dem Einschalten muss das Gerät mindestens einmal entsperrt worden sein.

Hinweis: YouTube-Videos sind deaktiviert!
Inhalte von Google und YouTube aktivieren

Im obigen Video wird AWDL auf einem iPhone 11 Pro im Nachbarraum aktiviert, dann verschafft sich der Angreifer Zugriff über den Pufferüberlauf in AWDL, pflanzt ein Root-Rechte-Implantat ein und kann im Anschluss auf alle persönlichen Daten inklusive Fotos, E-Mails, Mitteilungen und Schlüsselkette zugreifen. Das Ausliefern des Implantats dauert rund zwei Minuten, doch dieser Vorgang ließe sich laut Beer auf wenige Sekunden optimieren. Wird das Implantat mit einer Wurmfunktion ausgestattet, kann es sich ohne weiteres Zutun von iOS-Gerät zu iOS-Gerät verbreiten. Ausgangspunkt von Beers Angriff war eine Beta-Version von iOS, bei der Apple vergessen hatte, die Namen der Funktionen zu entfernen. Funktionsnamen sind ausgesprochen hilfreich beim Verstehen von Programm-Code und Beer hatte es die Funktion IO80211AWDLPeer::parseAwdlSyncTreeTLV angetan. Hier ging es irgendwie um Funk und die Fehlerbehandlung wirkte lückenhaft.

Und die Moral von der Geschicht?
Wenn eine einzelne Person ohne Hilfe oder Insiderinformationen in der Lage ist, eine Methode zu entwickeln, mit der man alle Sicherheitsmaßnahmen von iOS über Funk aushebeln kann, was können dann große Hacker-Teams mit millionenschweren Budgets auf die Beine stellen? Man kann sich eigentlich nur sicher sein, dass rein gar nichts dauerhaft sicher ist.

Der finale Thunderbird 78.5.1 liegt für Windows (ab Version 7), macOS (ab Version 10.9) und Linux (ab GTK+ 3.14) zum Download bereit. Neben der Möglichkeit, die Verschlüsselung des Betreffs in OpenPGP zu deaktivieren, gibt es zwölf Korrekturen, darunter Maßnahmen gegen eine hochgefährliche Sicherheitslücke.

Stapelüberlauf durch Server-Antworten
Bei der Schwachstelle handelt es sich um einen Stapelüberlauf beim Parsen der Antwort-Codes von SMTP-Servern (CVE-2020-26970). Der E-Mail-Client schreibt einen Ganzzahlenwert an eine Position, die nur ein Byte aufnehmen kann. Abhängig von der CPU-Architektur und vom Stack-Layout kann es zu einem unkontrollierten Schreibvorgang kommen, der sich möglicherweise von Angreifer ausnutzen lässt.

Fehlerbereinigungen und Optimierungen für den OpenPGP-Einsatz
Die übrigen Korrekturen sind nicht sicherheitsrelevant. Sie stellen beispielsweise sicher, dass das Icon beim Beenden des Programms aus dem System-Tray entfernt wird, dass die Suche nach Mitteilungen auf Wunsch auch auf dem Server ausgeführt wird oder dass Autoconfig über LDAP richtig funktioniert. Verbindungen sind nun auch zu LDAP-Servern mit selbst-signierten Zertifikaten möglich und das Drücken von STRG + Eingabe im Kalender verursacht keine Duplikate mehr.

Das Ausdrucken der Empfänger einer Mailing-Liste im Adressbuch wurde repariert und Ordner, die ungelesene Mails enthalten, werden nun auch im Dark-Theme hervorgehoben. OpenPGP kann Schlüssel aus der Zwischenablage importieren und der Schlüsselmanager soll Schlüssel zuverlässiger finden. Der Import von öffentlichen OpenPGP-Schlüsseln unterstützt neuerdings die Auswahl mehrerer Dateien und kann jetzt auch große Mengen importierter Schlüssel akzeptieren.

Download: Thunderbird 78.5.1

In seiner Werbung macht Apple die eigenen Telefone nass und verspricht den Käufern Wasserresistenz für bis zu 30 Minuten bei einer Eintauchtiefe von einem bis vier Meter. Säuft das Telefon trotzdem früher ab, verweigert der Hersteller in der Regel die Garantie. Die italienische Kartellbehörde sieht hierin unlautere Geschäftspraktiken und hat den US-Konzern zu einer Strafe in Höhe von 10 Millionen Euro verurteilt.

Laut Kartellbehörde sind Apples Versprechungen hinsichtlich der Modelle iPhone 8, 8 Plus, XR, XS, XS Max, 11, 11 Pro und 11 Pro Max alles andere als praxisnah, denn die angepriesenen Werte lassen sich nur unter Laborbedingungen unter Verwendung von statischem und reinem Wasser erzielen. Dummerweise machen die Verbraucher ihre Telefone nur sehr selten in Laboren nass - in der Regel fallen die Geräte in Pfützen, Spül- oder Toilettenschüsseln. Das dort anzutreffende Wasser ist alles andere als laborrein und selbst salziges Meerwasser entspricht keinesfalls Apples Vorgaben.

Die Konstruktion der Telefone bietet zwar auch unter diesen Bedingungen einen gewissen Schutz, doch Angaben wie bis zu 30 Minuten oder Tiefen von ein bis vier Metern sind sind dann reine Makulatur. Zudem enthalten Apples Garantiebedingungen einen generellen Haftungsausschlusses, welchen das Unternehmen wie folgt formuliert: Die Garantie deckt keine durch Flüssigkeiten verursachten Schäden ab. Wer sein iPhone nass werden lässt und es dabei beschädigt, ist somit immer selber schuld und letztendlich der Dumme. Italiens Kartellbehörde sah hierin eine gewisse Diskrepanz, die wir sehr gut nachvollziehen können.

Erschwerend kommt hinzu, dass Apple bei diesem Haftungsausschluss nicht zwischen der gesetzlich vorgeschriebenen und seiner freiwilligen Herstellergarantie unterscheidet. Der Verbraucher hat letztendlich keine Möglichkeit, Ansprüche hinsichtlich der beworbenen Wasserbeständigkeit durchzusetzen. Aus diesen Gründen haben die Wettbewerbsschützer eine Strafe in Höhe von 10 Millionen Euro gegen Apple Distribution International und Apple Italia Srl verhängt. Zudem muss das Unternehmen auf seiner italienischen Webseite unter dem Link Verbraucherschutzinformationen auf diese Angelegenheit hinweisen.