daily.out

Bedingtes Problem bei iTunes-Updates

Mit dem iTunes-Update 10.5.1 hat Apple das mögliche Einschleusen von Malware verhindert für bestimmte Windows-Situationen. Mac OS X war nicht betroffen.

Das Problem

iTunes kann selbst Abfragen nach Updates machen. Dabei hat es vor iTunes 10.5.1 unverschlüsseltes http benutzt, wodurch ein Man-In-The-Middle-Angriff ein gefaktes Update aus böser Quelle anbieten konnte. Auf OS X würde die Installation jedoch an einer Signatur-Prüfung des Paketes scheitern. Bei Windows auch, wenn man den Apple Softwareupdater für Windows installiert hat und nutzt. Wenn man das auf Windows nicht tut, wird das Paket ungeprüft direkt installiert, was zur Infektion mit Malware führen kann.

Die Historie

Seit 2002 führt das Softwareupdate von OS X (sowohl GUI- als auch Shell-Version) eine kryptographische Signaturprüfung der heruntergeladenen Installationspakete durch. Daher ist es egal, ob die Pakete unsicher bezogen werden, denn die Installation würde bei nicht von Apple signierten Paketen oder gefälschten Paketen mit einer Fehlermeldung wie "The digital signature for this package is incorrect" scheitern.

Angriffs-Szenario

Bei Windows tritt das Problem nur auf, wenn man das Update-Tool "Apple Software Update for Windows" nicht installiert hat. Dies wird jedoch standardmäßig mit iTunes angeboten.

Der Angriff funktioniert also nur bei einem einzigen Szenario: iTunes auf Windows ohne "Apple Software Update for Windows". In dem Fall wird das heruntergeladene Paket nämlich nicht vor der Installation überprüft. Und da die Abfrage, ob ein Update vorliegt, unsicher erfolgte, konnte ein bösartiges Installationspaket von dritter Seite angeboten und heruntergeladen worden sein.

Nutzen der Fehlerbehebung

Die jetzt eingeführte Update-Abfrage über https ist die einzige Sicherheit, die einen in diesem Windows-Szenario (ohne Apple Updater) schützen kann. Sie ist aber nur zusätzliche Sicherheit für die anderen Szenarien, also Mac OS X oder Windows mit Apple-Updater, da man in diesen Fällen schon auf andere Weise geschützt war. Jetzt halt doppelt.

Valid XHTML 1.0!

Besucherzähler


Latest Update: 11. September 2015 at 19:49h (german time)
Link: macmark.de/blog/osx_blog_2011-11-c.php