Mac OS X absichern – Teil 2

Kurzzusammenfassung: Betriebssystem- sowie Programm-Updates erscheinen in mehr oder weniger regelmäßigen Abständen, meist beinhalten diese auch wichtige Sicherheitsaktualisierungen. Aber auch zusätzliche Erweiterungen (PlugIns/AddOns/Extensions) sind oft von Sicherheitslücken betroffen, so dass auch diese im Auge behalten werden müssen. Leider gestaltet sich dies teilweise recht aufwendig – deshalb soll dieser Artikel einen aktuellen Überblick über diese Problematik ermöglichen.

Wie schon im ersten Teil angemerkt, bin ich kein Sicherheitsexperte, ich verlasse mich lediglich auf meine langjährige praktische Erfahrung als freier System Administrator und meine Spezialisierung auf Mac OS.

2. Das Betriebssystem aktuell halten.

Allgemein lässt sich sagen: Sicherheitsaktualisierungen sollten grundsätzlich zeitnah installiert werden, umso schneller, desto besser (Einschränkungen bezüglich dieser Aussage siehe weiter unten).

Mac OS X selbst ist dank der integrierten Softwareaktualisierung sehr einfach auf dem aktuellen Stand zu halten (zu erreichen über das Apfel-Menü oben links im Finder). In der Standard-Einstellung von Mac OS X werden Aktualisierungen wöchentlich gesucht und automatisch im Hintergrund geladen – bei Bedarf wird der Anwender dann gefragt, ob die Aktualisierungen auch installiert werden sollen. Ändern lässt sich diese Einstellung in den Systemeinstellungen im Bereich Softwareaktualisierung.

Umfangreiche System-Updates (also z.B. von 10.6.7 auf 10.6.8 oder 10.7.2 auf 10.7.3) werden im Normalfall automatisch als so genannte „Delta-Updates“ angeboten – diese beinhalten nur die Aktualisierungen, die von einer Version zur nächsten nötig sind. Erfahrungsgemäß ist es jedoch sinnvoll, grundsätzlich auf die größeren Combo-Updates zurückzugreifen – diese beinhalten im Falle des 10.6.8 Combo-Update alle Aktualisierungen, die seit 10.6.0 veröffentlich wurden bzw. im Falle des 10.7.3 Combo-Update alle Aktualisierungen, die seit 10.7.0 veröffentlich wurden.

Zu beachten ist außerdem, dass Apple manche Aktualisierungen kurz nach der Veröffentlichung noch einmal in einer aktualisierten Version anbietet (meist als v1.1 gekennzeichnet), und dies nicht erst seit dem Security-Update 2012-001 v1.1 oder dem 10.7.3 Combo-Update (hier scheinbar still und heimlich aktualisiert, überprüfbar anhand der geänderten SHA1-Checksumme) …

Aktualisierungen in einer Version 1.1 sind bei Apple leider keine Seltenheit mehr.

Außerdem sollte man folgendes im Hinterkopf behalten: Sicherheitslücken werden keineswegs nur mit den Sicherheitsaktualisierungen von Apple geschlossen! Auch jeweils aktuellere Versionen von Quicktime, Safari, iTunes usw. schließen Sicherheitslücken und sollten deshalb selbstverständlich installiert werden. Als normaler Anwender, der sich nicht täglich auf IT-nahen Webseiten herumtreibt, erfährt man davon leider nur am Rande (Apple spricht in der Update-Beschreibung gern von „allgemeinen Fehlerbehebungen“ – die sicherheitsrelevanten Bestandteile solch einer Aktualisierung werden lediglich über einen speziellen Link propagiert). Kritisiert hatte ich dies schon vor 3 Jahren, geändert hat sich daran bis heute leider nichts.

Wer die nötige Zeit findet, kann gern die bisherigen Sicherheitslücken zusammen zählen, die seit der ersten offiziellen Version von Mac OS X geschlossen wurden: 2003 und früher, 2003 bis 2005, 2005 bis 2007, 2008 bis 2009, 2010 bis heute. Soviel zu der Mär, Mac OS X sei „viel sicherer“ als andere Betriebssysteme … 😉

Dazu kommt noch folgende Problematik, derer man sich zumindest bewusst sein sollte: Ältere Versionen von Mac OS X werden von Apple nicht mehr mit Sicherheits-Aktualisierungen versorgt! So musste man z.B. im Sommer 2011 bei Mac OS X 10.5 Leopard (und früher) selbst Hand anlegen, um nicht mehr vertrauenswürdige Zertifikate von DigiNotar in der Schlüsselbund-Verwaltung entsprechend zu markieren und zu entfernen. Das heißt, spätestens seit dem Security-Update 2011-005 werden nur noch 10.6 Snow Leopard sowie 10.7 Lion mit Sicherheitsaktualisierungen versorgt.

Mit der Ankündigung von OS X 10.8 Mountain Lion für den Spätsommer 2012 steht deshalb zu befürchten, dass in absehbarer Zeit auch für Mac OS X 10.6 Snow Leopard keine sicherheitsrelevanten Aktualisierungen mehr veröffentlicht werden.

2.1 Programme und Erweiterungen aktualisieren.

Programme, die per Mac AppStore auf dem Rechner installiert wurden, werden nicht mit Hilfe von Apples Softwareaktualisierung aktualisiert, sondern direkt über den AppStore.¹

Programm-Aktualisierungen zeigt der AppStore direkt im Dock an.

Durch die Zulassungsbeschränkungen des Stores sind viele Programme jedoch weiterhin nur direkt beim Hersteller erhältlich.

Dazu zählen z.B. alternative Web-Browser wie Google Chrome, selbiger aktualisiert sich praktischerweise vollautomatisch ohne zutun des Anwenders – lediglich ein Neustart des Programms ist nötig. Solch ein „silent auto updater“ ist demnächst auch für Mozilla Firefox geplant (offiziell ab Version 13, welche im Juni 2012 zu erwarten ist). Auch Opera glänzt seit Version 10 mit dieser Option.

Google Chrome hält sich vollautomatisch auf dem aktuellen Stand.

Auch andere weit verbreitete Tools haben meist einen Update-Mechanismus integriert (VLC, Adium etc.), unter Umständen muss dieser Updater aber erst aktiviert werden und bei vorhandenen Aktualisierungen muss man deren Installation auch erst manuell bestätigen.

Vorsicht ist insbesondere bei PlugIns geboten: Adobe FlashPlayer, Adobe Shockwave Player, Microsoft Silverlight, Microsoft Flip4Mac WMV, Perian, DivX Player, RealPlayer, Adobe Air und wie sie alle heißen – nicht jedes dieser Tools hat einen vollautomatischen Updater integriert.

Insbesondere der FlashPlayer fiel in jüngster Vergangenheit in regelmäßigen Abständen durch eine Vielzahl von Sicherheitslücken auf. Malware-Programmierer haben sich seit einigen Monaten darauf eingeschossen und verbreiten Mac-Trojaner, die wie der originale Flash-Installer aussehen, in Wirklichkeit aber Schadsoftware im System einnisten (1, 2). Man sollte also in jedem Fall sicher stellen, dass man sich den echten aktuellen Adobe FlashPlayer installiert, und nicht auf solche Fakes hereinfällt. In Google Chrome ist der FlashPlayer derzeit sogar integriert, er wird also automatisch mit aktualisiert, sobald nötig. Um den Umgang mit Flash-Inhalten noch ein wenig besser im Griff zu haben, kann man sich zusätzlich eine Browser-Erweiterung wie Click2Flash (für Safari) oder FlashBlock (für Firefox bzw. Chrome) installieren. Diese verhindern, dass Flash-Dateien automatisch angezeigt bzw. abgespielt werden.

Die Quelle des Flash Player PlugIn sollte in jedem Fall der Hersteller Adobe sein.

Java gehört seit 10.7 Lion zwar nicht mehr zum Lieferumfang von Mac OS X, wird aber auf Wunsch automatisch per Softwareaktualisierung von den Apple-Servern herunter geladen, sobald es benötigt wird. In der Vergangenheit lieferte Apple Java-Sicherheitsaktualisierungen nicht immer zeitnah aus, was dazu führte, dass unter Mac OS X Lücken in Java existierten, die für andere Systeme längst geschlossen waren. Es ist also kaum verwunderlich, dass die Malware-Szene auch über solche Wege versucht, die Kontrolle über das Betriebssystem zu erlangen.

Ein weiterer Kandidat für immer wieder neue Sicherheitslücken war in den letzten Monaten und Jahren der Adobe Reader. Entweder man verzichtet gleich vollständig auf den Einsatz dieses Tools oder man deaktiviert zumindest einige Features, deren Möglichkeiten immer wieder für Angriffsversuche missbraucht wurden. Am 12. Januar 2012 wurden wieder Lücken in Adobe Reader und Acrobat geschlossen, die zumindest auf Windows-Systemen schon seit Dezember 2011 aktiv ausgenutzt wurden (deshalb gab es für Windows-Systeme sogar ein gesondertes, früheres Update).

Das Adobe Reader Update 10.1.2 schließt eine schwerwiegende Sicherheitslücke.

Wer statt Apple Mail auf Mozilla Thunderbird setzt, sollte auch dieses stets aktuell halten, wie dessen Security Advisories zeigen.

Nutzer von Microsoft Office for Mac sollten die Aktualität von Word, Excel, Powerpoint und Entourage bzw. Outlook ebenfalls regelmäßig überprüfen – dank des dazu gehörigen „Microsoft AutoUpdate“ ist dies recht einfach (zu finden unter Macintosh HD/Library/Application Support/Microsoft/MAU2.0/).

Microsoft AutoUpdate findet eine wichtige Aktualisierung für Office 2011.

Die ebenfalls sehr weit verbreitete Adobe Creative Suite wird mit Hilfe des „Adobe Application Manager“ auf dem aktuellen Stand gehalten, seit der Version 5 und 5.5 funktioniert dies auch halbwegs zuverlässig.² Das Tool befindet sich im Verzeichnis Macintosh HD/Library/Application Support/Adobe/OOBE/PDApp/core/.

Der Adobe Application Manager hält die Creative Suite auf dem aktuellen Stand.

2.2 Secunia PSI vs. MetaQuark AppFresh

Wie man sieht, muss man so einiges im Blick behalten, um sein System sowie zusätzlich installierte Programme und Erweiterungen auf dem aktuellen Stand zu halten. Leider fehlt unter Mac OS X nach wie vor ein professionelles und aktiv gepflegtes Sicherheitstool für Privatanwender wie z.B. der Personal Software Inspector (PSI) von Secunia für Windows-Systeme. Die aktuelle Version des Secunia Corporate Software Inspector (CSI) ist eine kommerzielle Lösung für Unternehmen, welche neuerdings auch Macs überprüfen kann (allerdings nur von einem Windows-Rechner aus und per Netzwerk-Zugriff).

Die einzige mir bekannte Alternative wäre AppFresh von MetaQuark, leider aber funktionierte dieses Tool bei einem ausgiebigen Test im Vergleich zu PSI unter Windows nicht sonderlich gut und zuverlässig, so dass ich dessen Einsatz derzeit nicht ruhigen Gewissens empfehlen kann.

AppFresh hat den Beta-Status nach wie vor nicht verlassen …

AppFresh ist natürlich dazu geeignet, einen schnellen groben Überblick über die installierten Anwendungen zu erhalten (und dies inklusive der Hinweise auf vorhandene aktuellere Versionen), die Aktualisierungen selbst sollte man sich dann aber besser manuell vom jeweiligen Hersteller organisieren und installieren.

Eine hilfreiche Seite bei der Suche nach Aktualisierungen ist MacUpdate, welche schon lange vor Mac OS X aktiv war.

Aktualisierung (23. Februar 2012, 18:10 Uhr): Soeben entdeckte ich durch Zufall MacUpdate Desktop 5.0 – bei Gelegenheit werde ich mir das Tool genauer ansehen.

Fazit

Linux-Nutzer haben es in Hinblick auf System- und Programmaktualisierungen derzeit einfacher – mittlerweile existiert in so gut wie jeder Distribution eine zentrale System- und Softwareverwaltung, welche diese Aufgabe gut und zuverlässig bewältigt. Mit der zukünftig zu erwartenden noch stärkeren Integration des AppStore in Mac OS X und neuen Sicherheitsansätzen wie „GateKeeper“ entwickelt sich aber auch Apples Betriebssystem weiter – ob zum Positiven oder Negativen, bleibt abzuwarten.
Bei aller nötigen Vorsicht darf folgendes nicht unerwähnt bleiben: All die geschlossenen potentiellen Sicherheitslücken von Betriebssystemen, Programmen wie auch Erweiterungen sind so gut wie nie ohne zutun des Benutzers ausnutzbar. Drive-by-Downloads erfordern das aufrufen einer infizierten Webseite, Dateien mit potentiell schadhaftem Code (beispielsweise infizierte PDFs) müssen erst herunter geladen und geöffnet, Trojaner erst installiert werden.
Mit einem gesunden Maß an Skepsis und Umsicht im Umgang mit dem Computer kann man einem Großteil dieser Gefahren im Normalfall aus dem Weg gehen.
Unabhängig davon, ob sich alle Software auf dem jeweils aktuellsten Stand befindet, muss darauf geachtet werden, nicht durch nachlässige Konfigurationen Lücken ins System zu reißen. Der Einsatz von sicheren Passwörtern ist dabei genau so wichtig wie die Nutzung verschiedener Passwörter für verschiedene Dienste und Anwendungen. Dies wird Thema der kommenden dritten Folge sein.  

¹ Eine Ausnahme bildet hierbei derzeit Mac OS X 10.7 Lion selbst, welches zwar über den Mac AppStore erworben wird, aber trotzdem per Softwareaktualisierung aktualisiert wird. In der Developer Preview 1 von OS X 10.8 Mountain Lion wird, sobald man die Softwareaktualisierung startet, der Mac AppStore geöffnet. Vermutlich soll sich der Mac AppStore also zur zukünftigen Update-Zentrale entwickeln.

² In den Vorgängerversionen (CS 4, CS 3) funktionierte dieser Update-Mechanismus oft sehr unzuverlässig, Acrobat ließ sich teilweise nicht einmal manuell aktualisieren.

Ein Gedanke zu „Mac OS X absichern – Teil 2“

Schreibe einen Kommentar zu Judit Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Für ein Kommentar muss die Captcha-Aufgabe gelöst werden. * Time limit is exhausted. Please reload CAPTCHA.