"Software Update" von Mac OS öffnet Hintertür

Die Funktion "Software Update" beziehungsweise "Software-Aktualisierung" von Mac OS nimmt dem Anwender die Suche nach neuen Versionen der System-Komponenten ab -- öffnet aber auch eine Sicherheitslücke.

In Pocket speichern vorlesen Druckansicht 299 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Andreas Beier

Die Funktion "Software Update" beziehungsweise "Software-Aktualisierung" von Mac OS nimmt dem Anwender die aufwendige Suche nach neuen Versionen der installierten Systemkomponenten ab. Standardmäßig kontaktiert die Software den Apple-Server einmal die Woche über http -- ohne jedoch per Authentifizierung sicherzustellen, dass sie tatsächlich mit dem Update-Server des Computer-Herstellers spricht. Mit Tools wie dnsspoof und arpspoof lässt sich deshalb ein falscher Update-Server unterschieben und dessen vermeintliche Software-Updates anzeigen.

Zwar lädt die Update-Funktion Software erst auf Anweisung des Anwenders auf den Rechner, jedoch zeigt sie dem Nutzer nicht an, mit welchem Server sie spricht. Daher kann der Anwender einen geschickt gemachten Angriff auch nicht erkennen. Mac-User sind es außerdem gewohnt, bei der Installation von System-Updates ihr Administrator-Passwort einzugeben, sodass sie bei einer Nachfrage keinen Verdacht schöpfen.

Eine Software von Russell Harding nutzt die Sicherheitslücke bereits aus, um beliebigen Nutzern das Anmelden übers Netz auf einem Mac-OS-X-Rechner zu ermöglichen. Das klassische Mac OS scheint von der Lücke ebenfalls betroffen zu sein. Es gibt allerdings für das ältere System noch keinen Exploit; außerdem fällt es dabei eher auf, wenn sich unerwünschte Software einnisten will.

Einen Patch von Apple gibt es bislang nicht. Bis die Firma Abhilfe schafft, empfiehlt es sich, im Bereich "Software-Aktualisierung" in den Systemeinstellungen die Software-Suche auf "Manuell" zu stellen und mit dem Web-Browser unter www.info.apple.com nach Updates zu suchen. Das CERT der Universität Stuttgart hat bereits ein Advisory zu dem -- vom CERT als "design flaw" mit sehr hohem Gefahrenpotenzial eingestuften -- Problem mit der "Software-Aktualisierung" veröffentlicht. (adb)