Apple bessert Löcher in der Leopard-Firewall aus
Zweieinhalb Wochen, nachdem heise Security Löcher in der Firewall von Mac OS X Leopard diagnostiziert hat, liefert Apple nun mit dem Upgrade auf Mac OS 10.5.1 unter anderem Sicherheits-Updates aus, die diese Löcher stopfen sollen.
Zweieinhalb Wochen, nachdem heise Security Löcher in der Firewall von Mac OS X Leopard diagnostiziert hat, liefert Apple nun Sicherheits-Updates aus, die diese Löcher stopfen sollen. Darüber hinaus soll das Upgrade auf 10.5.1 unter anderem auch dem möglichen Datenverlust beim Verschieben von Dateien zwischen Partitionen im Finder ein Ende bereiten.
Das Upgrade addressiert drei Sicherheitsprobleme, die alle die neue Application Firewall betreffen. Zunächst benennt Apple die Funktion "Alle eingehenden Verbindungen blockieren" nunmehr "Nur wesentliche Dienste zulassen". heise Security hatte unter anderem moniert, dass selbst in dieser Einstellung Dienste von außen erreichbar waren. Darüber hinaus schränkt Apple die Zahl der "wesentlichen Dienste" jetzt signifikant ein: War früher prinzipiell jeder Dienst von außen erreichbar, der mit Root-Rechten lief, sind es in dieser Einstellung jetzt nur noch die Netzwerkinfrastrukturdienste DHCP (configd), Bonjour (mDNSResponder) und IPSec (racoon). heise Security hatte scharf kritisiert, dass bislang trotz der schärfsten Firewall-Einstellung unter anderem der Zeit-Service ntpd offen und damit angreifbar war. Mit diesem Update reduziert Apple die Angriffsfläche beträchtlich – zumindest, wenn der Anwender diese Option aktiviert. Denn standardmäßig bleibt die Firewall nach wie vor auf "Alle eingehenden Verbindungen erlauben".
Außerdem bessert Apple bei der ebenfalls von heise Security monierten Einstellung "Zugriff auf bestimmte Dienste und Programme festlegen" nach. Hier sorgt die Firewall künftig dafür, dass Dienste, die als User "root" laufen, zumindest dann nicht mehr erreichbar sind, wenn der Anwender sie explizit mit einer Blockier-Regel belegt. Zum konsequenteren Schritt, alle Applikationen ohne explizite Ausnahmeregel vor Zugriffen aus dem Internet abzuschotten, konnte sich Apple jedoch offenbar nicht durchringen. So ist in dieser Einstellung nach wie vor standardmäßig der Zeit-Server von außen zu erreichen, obwohl er nicht in der Liste auftaucht. Auch ein einfacher Demo-Server wie
nc -l 1414
ist von außen beispielsweise mit Telnet auf Port 1414 zu erreichen, ohne dass der Anwender dafür eine Regel erstellt hat. Eben weil solche Dienste in keiner Liste auftauchen, wird der Anwender in der Regel auch nicht von sich aus auf die Idee kommen, für sie eine explizite Blockier-Regel zu erstellen. Unsignierte Applikationen erzeugen hingegen eine Nachfrage beim Anwender, ob er will, dass der Dienst erreichbar ist. Diese ließe sich jedoch umgehen, indem die Anwendung ihre Kommunikation beispielsweise über das universelle Netzwerk-Tool netcat abwickelt.
Schließlich dokumentiert die Zusammenfasung, dass bisher neue Regeln unter Umständen erst nach einem Neustart eines von launchd gestarteten Dienstes aktiv wurden. Das soll sich ebenfalls nach dem Update ändern. Auch der Probleme mit Anwendungen wie Skype und World of Warcraft hat sich Apple angenommen. Offenbar verzichtet Apple jetzt darauf, bestimmte Programmdateien von Drittherstellern ad-hoc zu signieren. Ein testweise installiertes Skype lief auch nach Erstellung einer Firewall-Regel ohne Fehlermeldung; die Programmdatei blieb unverändert. Wie die Firewall Applikationen jetzt erkennt, müssen weitere Untersuchungen zeigen.
[Update]:
Wie sich herausstellte, hat Apple Skype und diverse Blizzard-Spiele in eine Ausnahmeliste aufgenommen (/Library/Preferences/com.apple.alf.plist). Die dort aufgeführten Programme werden nicht nachträglich signiert. Das bedeutet aber auch, dass die Firewall bei jedem Start der Applikation erneut fragt, ob sie eingehende Verbindungsanfragen annehmen darf. [/Update]
Das Update auf 10.5.1 bringt weitere Detailverbeserungen unter anderem in AirPort und der Time Machine. Viele Punkte der Liste sind vom Kaliber "iCal Erinnerungen werden nun noch zuverlässiger per E-Mail gesendet". Hervorzuheben ist jedoch, dass auch das Problem, das zu Datenverlusten beim Verschieben von Dateien über Partitionsgrenzen hinweg führen kann, behoben sein soll.
Das Update auf Mac OS X 10.5.1 wird zum einen über die automatische Update-Funktion des Betriebssystems angeboten, zum anderen gibt es Download-Pakete zur manuellen Installation für Mac OS X 10.5 Client und Server (beide Update-Packs sind rund 110 MByte groß). Anwender von Mac OS X 10.5 "Leopard" sollten die Updates angesichts der enthaltenen Korrekturen und Verbesserungen baldmöglichst installieren.
Siehe dazu auch:
- Informationen über den Sicherheitsinhalt des Mac OS X 10.5.1 Updates von Apple
- Ein zweiter Blick auf die Firewall in Mac OS X Leopard von heise Security
- Firewall in Mac OS X Leopard beschädigt Programme von heise Security
- Apple dokumentiert Funktion und Lücken der Leopard-Firewall von heise Security
(ju)
