Apple schließt Sicherheitslücke beim Software-Update
Apple bietet ein Security-Update zum Download an, das die jüngst dokumentierte Sicherheitslücke bei der automatischen Software-Aktualisierung schließt.
Apple hat die kürzlich dokumentierte Sicherheitslücke beim automatischen Software-Update geschlossen.
Mac OS nimmt in regelmäßigen Abständen automatisch Kontakt mit dem Apple-Server auf, um nach neuen Versionen der installierten Systemkomponenten zu suchen. Diese Kontaktaufnahme läuft jedoch ohne Authentifizierung ab, sodass dem System mit Hilfe von Spoofing-Tools ein fremder Update-Server als Apple-eigen vorgegaukelt und auf diese Weise Fremd- oder Schadsoftware untergeschoben werden könnte.
Mit dem jetzt zum Download bereit gestellten Security-Update ändert Apple zwar nichts an der fehlenden Server-Authentifizierung, signiert künftig aber die Update-Pakete zum Download kryptografisch.
Der neue Software-Update-Client (Version 1.4.6) überprüft vor der Installation die Signatur der Pakete. Als ungültig erkannte Dateien werden dann automatisch vom System gelöscht. (klp)
