You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-871

[Mac/Software Update] Schwachstelle in der automatischen Software-Aktualisierung von Mac OS X - Update
(2002-07-13 15:07:46.486624+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/07/msg00061.html

Die automatische Software-Aktualisierung von Mac OS X fragt einmal pro Woche auf dem Appleserver nach neuen Versionen und installiert sie ggf. mit root-Rechten ohne Authentifizierung. Daher ist es möglich dem Betriebssystem präparierte Software zum Update anzubieten.

Betroffene Systeme

  • Mac OS 10.1.X
  • möglicherweise Mac OS 10.0.X und Mac OS 9.X

Einfallstor
Durch Abfangen der Updateanfrage und Umleiten auf einen gefälschten Updateserver kann böswillig präparierte Software mit root-Rechten installiert werden.

Auswirkung
Ein Angreifer kann beliebigen Programmcode auf dem updatenden Rechnersystem ausführen.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Software-Aktualisierung von Mac OS X erlaubt die benutzerfreundliche Aktualisierung des Betriebssystems und mitgelieferter Programme. In der Standardeinstellung fragt diese Funktion einmal pro Woche auf dem Appleserver (swscan.apple.com) nach neuen Versionen und installiert sie ggf. automatisch mit root-Rechten. Diese Funktion benutzt HTTP als Protokoll ohne jede Authentifizierung! Daher ist es möglich mit gängigen DNS Spoofingtools die Updateanfrage auf einen gefälschten Updateserver umzuleiten und dem Betriebssystem präparierte Software zum Update anzubieten.

Der seit dem 12.07.2002 von Apple für Mac OS 10.1.X zur Verfügung gestellte Patch beinhaltet einen Software-Update-Client (Version 1.4.6), welcher die bei Apple neu eingeführten kryptografischen Signaturen der Update-Pakete von der Installation verifiziert.

Workaround
Deaktivieren Sie die automatische Software-Aktualisierung:

  • Apfel-Menü|Systemeinstellungen|System|Software-Aktualisierung
  • Wählen Sie unter Software aktualisieren "manuell" aus.

Gegenmaßnahmen
Apple stellt einen Patch zur Verfügung:

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V.1.0 (2002-07-08)
  • V.2.0 (2002-07-13) Apple stellt einen Patch für Mac OS X zur Verfügung

(sp)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.