OS X 10.9 Mavericks や 10.10 Yosemiteではシステム環境設定.appの[App Store] > [アップデートを自動的に確認]をONにしておかないとXProtectの自動アップデートが効かないそうです。詳細は以下から。
先日、AppleはスパイウェアOSX/OpinionSpyの亜種に対応するためXProtectを更新しました、この更新はOS X Snow Leopard 10.6 ~ Mountain Lion 10.8向けだと思っていたところ「Yosemiteでも更新された」とのコメントを頂き、確認してみたのですがアップデートされておらず調べていたところ「Mavericks以降のOS Xではシステム環境設定の”アップデートを自動的に確認”をONにしておかないとGatekeeperとXProtectのアップデートもされない」という話題が上がっていたので確認してみました。
この話題は去年の年末あたりからMac OperationsやDer Flounderなどで取り上げられており、その内容は「OS X MavericksからSoftware Updateに統合されたGatekeeperとXProtectのアップデートは以前と同様に自動的にアップデートされ、手動でも”softwareupdate –background-critical”を叩くことでアップデートされるが、このアップデートはシステム環境設定の[App Store] > [アップデートを自動的に確認]をONにしておかないとアップデートされない」というものです。
Wrote a thing on the lack of background/security updates on managed Macs:
OS X admins: your clients are not getting background security updates
One important thing to know about forcing XProtect updates on Mavericks and Yosemite is that the Software Update function on the system in question must be set to automatically check for updates. Based on my testing, if the automatic check for updates is disabled, XProtect will no longer receive updates. This applies even if you run the softwareupdate –background-critical command to force an update to XProtect’s blacklist.
Forcing XProtect blacklist updates on Mavericks and Yosemite – Der Flounder
確認してみた
OS X Mavericks & YosemiteでGatekeeperとXProtectのバージョンを確認するには以下のdefault readなどで可能(2月16日の時点でGatekeeperは59, XProtectは2058になっています)。
- Gatekeeper
defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString
defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta Version
システム環境設定の[App Store] > [アップデートを自動的に確認]と[システムデータファイルとセキュリティアップデートをインストール]をOFFにした状態で、XProtectの手動アップデート
sudo softwareupdate --background-critical
を試してみたところ、やはりアップデートされずv2055のままで、ONにしてアップデートしてみたところOSX/OpinionSpyが追加されたv2058になりました。
OS X adminsのTimさんのテストでも、自動的にアップデートがOFF “$softwareupdate –schedule off”の場合、セキュリティアップデート”$softwareupdate –background-critical”はすぐに終了し、GatekeeperやXProtectはアップデートされませんが、
自動的にアップデートがON “$softwareupdate –schedule on”の場合、アップデートプロセスが実行されるとしています。
この設定はデフォルトでONになっているので、ユーザーが手動でOFFにしない限りXProtectやGatekeeperの自動更新が止まることはありませんが、OS X 10.8までは自動的にアップデートされていたXProtectのアップデートまで止まってしまうため、OS Xのシステム管理を担当するTimさんはこれをバグとしてAppleにレポートしています。
I consider this issue to be a security bug. My bug report on this issue is #18939764, which has been classified by Apple as an enhancement request.
your clients are not getting background security updates – OS X admins
OS Xの自動アップデートでアプリやシステムに不具合が生じるのが嫌で、[アップデートを自動的に確認]をOFFにしている場合、去年流行したiWormやWireLurker, DownLiteなど複数のマルウェアのXProtectが効いていない場合があるので上記の方法で確認してみてください。
関連リンク:
- Forcing XProtect blacklist updates on Mavericks and Yosemite – Der Flounder
- your clients are not getting background security updates – OS X admins
コメント
XProtectの自動更新を止めるって…
これアップルにとって百害あって一利なしだと思うんだけど、どういうルールなのアップルさん?
バッチリ該当していたので参考になりました。
システム環境設定.appのApp Store項目はチェックボックスを入れた段階ではなくペインを抜けた段階で設定が保存されてるっぽい?ので一応。
(チェックボックスを入れてもシステム環境設定のApp Storeペインを表示したままではsudo softwareupdate –background-critical打ち込んでも効かなかった)
うちもこの設定でXProtectのバージョン2055だった…
>>2
そのこともTimさんがブログのコメント欄で指摘してるね。
「一番の問題はAppStore設定をしてもすぐに更新されないことで、AppStoreの通知センターがリポジトリサーバーへのトリガーとなってXProtectのアップデートが可能になる」てコメント欄にある。動画の1:50でも確認できるし、自分の場合もそうでした…
ttp://macops.ca/os-x-admins-your-clients-are-not-getting-background-security-updates/
I think the main issue I found with this configuration was that as soon as any scheduled checks were enabled (even with downloads and updates of “user-visible” updates disabled), this was enough to cause the App Store to trigger notifications for the user that there are updates available, for any of the _other_ updates that I would normally have been managing through Munki and Reposado. There’s an example of this in the video in this post, at around 1:50.
ttps://www.youtube.com/watch?v=3XdrFY2wKWg#t=110
AppleはLaunchpadのバグもMavericksからずっと気づかれず放置していたから、これもアカンバグだと思う。とりあえずFeedbackだけは送っておく。
【修正済み】 Launchpadからアプリをアンインストールすると起こり得るアカンやつ – Togetter
ttp://togetter.com/li/739613