Mavericks & Yosemiteではシステム環境設定の「アップデートを自動的に確認」をONにしておかないとXProtectの自動アップデートが無効になるもよう。

スポンサーリンク

 OS X 10.9 Mavericks や 10.10 Yosemiteではシステム環境設定.appの[App Store] > [アップデートを自動的に確認]をONにしておかないとXProtectの自動アップデートが効かないそうです。詳細は以下から。

Mac App Storeのロゴ

 先日、AppleはスパイウェアOSX/OpinionSpyの亜種に対応するためXProtectを更新しました、この更新はOS X Snow Leopard 10.6 ~ Mountain Lion 10.8向けだと思っていたところ「Yosemiteでも更新された」とのコメントを頂き、確認してみたのですがアップデートされておらず調べていたところ「Mavericks以降のOS Xではシステム環境設定の”アップデートを自動的に確認”をONにしておかないとGatekeeperとXProtectのアップデートもされない」という話題が上がっていたので確認してみました。

Apple-Update-MountainLion-XProtect-OSXOpinionSpyB

 この話題は去年の年末あたりからMac OperationsDer Flounderなどで取り上げられており、その内容はOS X MavericksからSoftware Updateに統合されたGatekeeperとXProtectのアップデートは以前と同様に自動的にアップデートされ、手動でも”softwareupdate –background-critical”を叩くことでアップデートされるが、このアップデートはシステム環境設定の[App Store] > [アップデートを自動的に確認]をONにしておかないとアップデートされないというものです。

One important thing to know about forcing XProtect updates on Mavericks and Yosemite is that the Software Update function on the system in question must be set to automatically check for updates. Based on my testing, if the automatic check for updates is disabled, XProtect will no longer receive updates. This applies even if you run the softwareupdate –background-critical command to force an update to XProtect’s blacklist.

Forcing XProtect blacklist updates on Mavericks and Yosemite – Der Flounder

確認してみた

 OS X Mavericks & YosemiteでGatekeeperとXProtectのバージョンを確認するには以下のdefault readなどで可能(2月16日の時点でGatekeeperは59, XProtectは2058になっています)。

  • Gatekeeper
  • defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString
  • XProtect
  • defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta Version

 システム環境設定の[App Store] > [アップデートを自動的に確認]と[システムデータファイルとセキュリティアップデートをインストール]をOFFにした状態で、XProtectの手動アップデート

sudo softwareupdate --background-critical

を試してみたところ、やはりアップデートされずv2055のままで、ONにしてアップデートしてみたところOSX/OpinionSpyが追加されたv2058になりました。

softwareupdate-background-critical2

 OS X adminsのTimさんのテストでも、自動的にアップデートがOFF “$softwareupdate –schedule off”の場合、セキュリティアップデート”$softwareupdate –background-critical”はすぐに終了し、GatekeeperやXProtectはアップデートされませんが、

アップデートを自動的に確認-OFF

自動的にアップデートがON “$softwareupdate –schedule on”の場合、アップデートプロセスが実行されるとしています。

アップデートを自動的に確認-ON

 この設定はデフォルトでONになっているので、ユーザーが手動でOFFにしない限りXProtectやGatekeeperの自動更新が止まることはありませんが、OS X 10.8までは自動的にアップデートされていたXProtectのアップデートまで止まってしまうため、OS Xのシステム管理を担当するTimさんはこれをバグとしてAppleにレポートしています。

I consider this issue to be a security bug. My bug report on this issue is #18939764, which has been classified by Apple as an enhancement request.

your clients are not getting background security updates – OS X admins

 OS Xの自動アップデートでアプリやシステムに不具合が生じるのが嫌で、[アップデートを自動的に確認]をOFFにしている場合、去年流行したiWormWireLurker, DownLiteなど複数のマルウェアのXProtectが効いていない場合があるので上記の方法で確認してみてください。

関連リンク:

コメント

  1. Apple7743 より:

    XProtectの自動更新を止めるって…
    これアップルにとって百害あって一利なしだと思うんだけど、どういうルールなのアップルさん?

  2. Apple7743 より:

    バッチリ該当していたので参考になりました。
    システム環境設定.appのApp Store項目はチェックボックスを入れた段階ではなくペインを抜けた段階で設定が保存されてるっぽい?ので一応。
    (チェックボックスを入れてもシステム環境設定のApp Storeペインを表示したままではsudo softwareupdate –background-critical打ち込んでも効かなかった)

  3. Apple7743 より:

    うちもこの設定でXProtectのバージョン2055だった…
    >>2
    そのこともTimさんがブログのコメント欄で指摘してるね。
    「一番の問題はAppStore設定をしてもすぐに更新されないことで、AppStoreの通知センターがリポジトリサーバーへのトリガーとなってXProtectのアップデートが可能になる」てコメント欄にある。動画の1:50でも確認できるし、自分の場合もそうでした…
    ttp://macops.ca/os-x-admins-your-clients-are-not-getting-background-security-updates/
    I think the main issue I found with this configuration was that as soon as any scheduled checks were enabled (even with downloads and updates of “user-visible” updates disabled), this was enough to cause the App Store to trigger notifications for the user that there are updates available, for any of the _other_ updates that I would normally have been managing through Munki and Reposado. There’s an example of this in the video in this post, at around 1:50.
    ttps://www.youtube.com/watch?v=3XdrFY2wKWg#t=110

  4. Apple7743 より:

    AppleはLaunchpadのバグもMavericksからずっと気づかれず放置していたから、これもアカンバグだと思う。とりあえずFeedbackだけは送っておく。
    【修正済み】 Launchpadからアプリをアンインストールすると起こり得るアカンやつ – Togetter
    ttp://togetter.com/li/739613