Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-871

[Mac/Software Update] Schwachstelle in der automatischen Software-Aktualisierung von Mac OS X - Update
(2002-07-13 15:07:46.486624+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/07/msg00061.html

Die automatische Software-Aktualisierung von Mac OS X fragt einmal pro Woche auf dem Appleserver nach neuen Versionen und installiert sie ggf. mit root-Rechten ohne Authentifizierung. Daher ist es möglich dem Betriebssystem präparierte Software zum Update anzubieten.

Betroffene Systeme

Einfallstor
Durch Abfangen der Updateanfrage und Umleiten auf einen gefälschten Updateserver kann böswillig präparierte Software mit root-Rechten installiert werden.

Auswirkung
Ein Angreifer kann beliebigen Programmcode auf dem updatenden Rechnersystem ausführen.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Software-Aktualisierung von Mac OS X erlaubt die benutzerfreundliche Aktualisierung des Betriebssystems und mitgelieferter Programme. In der Standardeinstellung fragt diese Funktion einmal pro Woche auf dem Appleserver (swscan.apple.com) nach neuen Versionen und installiert sie ggf. automatisch mit root-Rechten. Diese Funktion benutzt HTTP als Protokoll ohne jede Authentifizierung! Daher ist es möglich mit gängigen DNS Spoofingtools die Updateanfrage auf einen gefälschten Updateserver umzuleiten und dem Betriebssystem präparierte Software zum Update anzubieten.

Der seit dem 12.07.2002 von Apple für Mac OS 10.1.X zur Verfügung gestellte Patch beinhaltet einen Software-Update-Client (Version 1.4.6), welcher die bei Apple neu eingeführten kryptografischen Signaturen der Update-Pakete von der Installation verifiziert.

Workaround
Deaktivieren Sie die automatische Software-Aktualisierung:

Gegenmaßnahmen
Apple stellt einen Patch zur Verfügung:

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(sp)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=871