zurück zum Artikel

"Software Update" von Mac OS öffnet Hintertür

Andreas Beier

Die Funktion "Software Update" beziehungsweise "Software-Aktualisierung" von Mac OS nimmt dem Anwender die Suche nach neuen Versionen der System-Komponenten ab -- öffnet aber auch eine Sicherheitslücke.

Die Funktion "Software Update" beziehungsweise "Software-Aktualisierung" von Mac OS nimmt dem Anwender die aufwendige Suche nach neuen Versionen der installierten Systemkomponenten ab. Standardmäßig kontaktiert die Software den Apple-Server einmal die Woche über http -- ohne jedoch per Authentifizierung sicherzustellen, dass sie tatsächlich mit dem Update-Server des Computer-Herstellers spricht. Mit Tools wie dnsspoof und arpspoof lässt sich deshalb ein falscher Update-Server unterschieben und dessen vermeintliche Software-Updates anzeigen.

Zwar lädt die Update-Funktion Software erst auf Anweisung des Anwenders auf den Rechner, jedoch zeigt sie dem Nutzer nicht an, mit welchem Server sie spricht. Daher kann der Anwender einen geschickt gemachten Angriff auch nicht erkennen. Mac-User sind es außerdem gewohnt, bei der Installation von System-Updates ihr Administrator-Passwort einzugeben, sodass sie bei einer Nachfrage keinen Verdacht schöpfen.

Eine Software [1] von Russell Harding nutzt die Sicherheitslücke bereits aus, um beliebigen Nutzern das Anmelden übers Netz auf einem Mac-OS-X-Rechner zu ermöglichen. Das klassische Mac OS scheint von der Lücke ebenfalls betroffen zu sein. Es gibt allerdings für das ältere System noch keinen Exploit; außerdem fällt es dabei eher auf, wenn sich unerwünschte Software einnisten will.

Einen Patch von Apple gibt es bislang nicht. Bis die Firma Abhilfe schafft, empfiehlt es sich, im Bereich "Software-Aktualisierung" in den Systemeinstellungen die Software-Suche auf "Manuell" zu stellen und mit dem Web-Browser unter www.info.apple.com [2] nach Updates zu suchen. Das CERT der Universität Stuttgart hat bereits ein Advisory [3] zu dem -- vom CERT als "design flaw" mit sehr hohem Gefahrenpotenzial eingestuften -- Problem mit der "Software-Aktualisierung" veröffentlicht. (adb [4])

URL dieses Artikels:
https://www.heise.de/-68683

Links in diesem Artikel:
[1] http://www.cunap.com/~hardingr/projects/osx/exploit.html
[2] http://www.info.apple.com/
[3] http://cert.uni-stuttgart.de/ticker/article.php?mid=871
[4] mailto:adb@ct.de

Copyright © 2002 Heise Medien