Menü
Security

Firewall in Mac OS X Leopard beschädigt Programme

Von
vorlesen Drucken Kommentare lesen 1074 Beiträge

Vielleicht war es doch keine schlechte Idee, dass Apple die eingebaute Firewall in Mac OS X Leopard standardmäßig nicht einschaltet. In der Einstellung "Zugriff auf bestimmte Dienste und Programme festlegen" signiert sie nämlich Programme nachträglich – und beschädigt dabei unter Umständen deren Integrität. So klagen Anwender, dass das VoIP-Programm Skype und das Online-Rollenspiel World of Warcraft den Dienst verweigern, nachdem sie es in der Firewall freigeschaltet haben.

Zum Hintergrund: Anders als bei Tiger arbeitet die Firewall in Leopard nicht mehr auf Paketebene, sondern mit Applikationen, denen sie bestimmte Netzwerkaktivitäten gestattet oder verweigert. Um Applikationen eindeutig zu identifizieren, arbeitet Apple mit den ebenfalls bei Leopard neu eingeführten Codesignaturen. Dabei haben bestimmte, von Apple signierte Programme automatisch das Recht, an der Firewall vorbei mit dem Netz zu kommunizieren.

Öffnet hingegen eine Applikation ohne gültige Signatur einen Netzwerk-Port, wird die Firewall aktiv. Im Zustand "alles blockieren", unterbindet sie die Kontaktaufnahme von außen und protokolliert dies mit Einträgen wie:

Deny evilserver connecting from 10.10.22.75:60957 uid = 0 proto=6

Im eingeschränkten Modus erscheint schon beim Versuch, einen Dienst zu starten, ein Dialog, der den Anwender um Erlaubnis fragt. Der hat dann die Möglichkeit, dies zu gestatten oder zu verbieten. Das System merkt sich diese Auswahl und trägt sie in die Ausnahmeliste der Firewall ein. Dabei versieht Apple bis dato unsignierte Programme mit einer digitalen Signatur. Wenn sich das Programm später ändert, verfällt auch die Erlaubnis.

Problematisch wird das Code-Signing, wenn ein Programm selbst seine eigene Integrität überprüft und dabei dann feststellt, dass sich die Datei auf der Festplatte geändert hat. So ändert die Apple-Signatur der Firewall die Prüfsumme von Skype:

MD5 (Skype) = 9d7fa7f77b8dc2a3c2ae61737a373c11
MD5 (Skype-org) = 4245cb201a94c76ddcb54b1cc1e58cfa

und Skype meldet beim Start von der Kommandozeile nur noch:

Main starting
Check 1 failed. Can't run Skype

Wer Skype über das GUI startet, sieht lediglich ein tanzendes Symbol, das kommentarlos wieder verschwindet. Erst nach einer erneuten Installation funktioniert das Programm wieder.

Auch World-of-Warcraft-Spieler berichten von ähnlichen Problemen. Sie erhalten unter Umständen die Meldung: "Die Spielversion konnte nicht geprüft werden. Grund dafür könnte eine beschädigte Datei oder ein Konflikt mit einem anderen Programm sein." Beim Hersteller Blizzard ist das Problem offenbar bekannt, doch als Workaround gibt es bislang nur die Empfehlung, WoW komplett neu zu installieren.

Siehe dazu auch:

(ju)