[Mac/Software Update] Schwachstelle in der automatischen Software-Aktualisierung von Mac OS X - Update
(2002-07-13 17:07:46.486624+02) Druckversion
Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/07/msg00061.html
Die automatische Software-Aktualisierung von Mac OS X fragt einmal pro Woche
auf dem Appleserver nach neuen Versionen und installiert sie ggf.
mit root-Rechten ohne Authentifizierung. Daher ist es möglich dem
Betriebssystem präparierte Software zum Update anzubieten.
Betroffene Systeme
- Mac OS 10.1.X
- möglicherweise Mac OS 10.0.X und Mac OS 9.X
Einfallstor
Durch Abfangen der Updateanfrage und Umleiten auf einen gefälschten
Updateserver kann böswillig präparierte Software mit root-Rechten
installiert werden.
Auswirkung
Ein Angreifer kann beliebigen Programmcode auf dem updatenden
Rechnersystem ausführen.
Typ der Verwundbarkeit
design flaw
Gefahrenpotential
sehr hoch
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
Die Software-Aktualisierung von Mac OS X erlaubt die
benutzerfreundliche Aktualisierung des Betriebssystems und
mitgelieferter Programme. In der Standardeinstellung fragt diese
Funktion einmal pro Woche auf dem Appleserver (swscan.apple.com)
nach neuen Versionen und installiert sie ggf. automatisch mit root-Rechten.
Diese Funktion benutzt HTTP als Protokoll ohne jede
Authentifizierung! Daher ist es möglich mit gängigen DNS
Spoofingtools die Updateanfrage auf einen gefälschten Updateserver
umzuleiten und dem Betriebssystem präparierte Software zum Update
anzubieten.
Der seit dem 12.07.2002 von Apple für Mac OS 10.1.X zur Verfügung gestellte Patch beinhaltet einen Software-Update-Client (Version 1.4.6), welcher die bei Apple neu eingeführten kryptografischen Signaturen der Update-Pakete von der Installation verifiziert.
Workaround
Deaktivieren Sie die automatische Software-Aktualisierung:
Apfel-Menü|Systemeinstellungen|System|Software-Aktualisierung- Wählen Sie unter Software aktualisieren "manuell" aus.
Gegenmaßnahmen
Apple stellt einen Patch zur Verfügung:
- Mac OS 10.1.X
http://docs.info.apple.com/article.html?artnum=75304 - Mac OS 9.x
Es liegt bislang kein Patch für Mac OS 9 vor.
Weitere Information zu diesem Thema
- Mac OS X Exploit: PhantomUpdate (RussellHarding.net)
Revisionen dieser Meldung
- V.1.0 (2002-07-08)
- V.2.0 (2002-07-13) Apple stellt einen Patch für Mac OS X zur Verfügung
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2013 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/
| Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.