Apple met a jour Xprotect

[mokuchley]

Bonjour, et bonne semaine a tous;

cette reflexion et questionnement font face a l'article de macgé , dans le lien suivant =>
http://www.macg.co/os-x/2014/10/apple-met-jour-xprotect-contre-le-malware-iworm-84647/page/1/0#comments

1 - il est dit que la mise a jour se fait sans l'aide de l'utilisateur
=> question : l'utilisateur par certain choix cochée sur son ordinateur pourrait -il empecher cette mise a jour

deux exemples;
- dans les preferences système, onglet " applestore "j'ai tout décochée; est ce un bloquage si c'est le chemin empreinté par apple

- dans les preferences système, onglet " securité ' j'ai bloqué toutes les connextions entrantes ( sauf celle au service de base internet, DHCP...etc ce qui est ecrit en bas de fenetre): est ce un blocage pour apple

donc finalisons,quelqu'un sait-il par ou passe la mise a jour de la liste Xprotect, et, l'utilisateur, d'une quelconque façon pourrait-il enclaver cette mise a jour ( certain posts parler du soucis de preferences de " little snich "

merci d'avance

PS = Apple a été trés réactif ( en moins de cinq jour) sur les deux derniers soucis ( iworm et shelldock ), quand a la dernière concernant l'usb ( vu sur macbidouille,) c'est une autre affaire a suivre .....

 

[Locke]

Pour l'USB c'est là... http://www.macg.co/materiel/2014/10/la-mechante-faille-badusb-rendue-publique-84664

 

[bompi]

Pour la mise à jour de la liste, regarde cette page : il faut évidemment vérifier si les informations sont toujours pertinentes (à cette heure, je n'ai malheureusement pas de Mac sous la main).

Il est clair que bloquer les requêtes vers l'extérieur (comme avec LittleSnitch) peut empêcher la mise à jour de se réaliser.

 

[FrançoisMacG]

il faut évidemment vérifier si les informations sont toujours pertinentes

Xprotect a beaucoup changé avec 10.8 puis 10.9 (faut que je prenne le temps de faire une recherche à propos de son devenir sous Mavericks).

 

[FrançoisMacG]

Je n'ai trouvé qu'un sujet intéressant : http://www.generation-nt.com/reponses/xprotect-entraide-4222002.html?page=2#comments où il est raconté ceci :

XProtectUpdater a disparu avec 10.9 (ce qui rend donc l'histoire de LittleSnitch obsolète)
et a laissé la place à Mise à jour de logiciels (SoftwareUpdate)
et au menu de Préférences Système > App Store intitulé Installer les fichiers de données système et les mises à jour de sécurité.

Si le menu est activé, la mise à jour de XProtect s'effectuerait toutes les 6 heures.
Sur mon Mac où le menu n'est pas activé, la mise à jour ne s'est pas encore faite (= après 48 heures, pendant lesquelles je ne me suis pas connecté à l'App Store).


Me reste à me connecter à l'App Store…

 

[Locke]

Chez moi, il ne s'était rien passé depuis le 30 septembre...



...clic sur Rechercher...et rien.

 

[bompi]

Tu n'as donc rien à craindre : dors tranquille, citoyen !

Je n'ai pas pensé à vérifier hier soir ; mais je goûtais les joies d'une XUbuntu fraîchement installée (et patchée, pour ce bon vieux Shellshock (pas la chanson de New Order, évidemment)) et bigrement réactive sur mon MBA.

 

[FrançoisMacG]

Chez moi, il ne s'était rien passé depuis le 30 septembre...

...clic sur Rechercher...et rien.

Sur mon Mac, XProtect.plist (dans CoreTypes.bundle) a été modifié la dernière fois le 16 Mai,

et, comme chez toi*, cliquer sur le bouton Rechercher ne m'apporte pas la dernière mise à jour
(comme d'ailleurs l'App Store ou la Mise à jour des logiciels du menu  ou encore le Redémarrage du Mac).

C'est peut-être à rapprocher de la la latence dans la distribution des mises à jour par l'App Store ? (certains les voient arriver vite, d'autres plus tard)


* : je n'ai toujours pas activé le menu Installer les fichiers de données système et les mises à jour de sécurité, et je vois que cela ne change rien.

 

[mokuchley]

merci pour les reponses
etant sous maverick, j'ai recoché mise a jour de fichier systeme

c'est plus de l'aquis de conscience, que de croire dans les vertu du pare-feu natif
on est surement pas dans la foire aux sales bestioles de tout genre sous windows, mais certaine sont présentes sur mac
chacun voit midi a sa porte, et juge bon ou pas l'utilité d'un antivirus en plus de toutes les precautions dites et redites sur les forums

une petite question en regard de Xprotect dans le terminal, le sujet de macgé indique la phrase a ecrire dans le terminal, mais juste au dessus de la ligne, il y a le mot " more "
=> question, doit-on ecrire ce mot more dans le terminal

et enfin, n'ayant pas envie d'utiliser le terminal, ne peut-on acceder a la Xprotect plist. dans la bibliotheque, en l'ouvrant avec text edit de macosx

 

[FrançoisMacG]

Il suffit de sélectionner XProtect.plist dans ton Finder
puis de lancer Coup d'œil (barre d'Espace) pour lire son contenu :

la dernière mise à jour (<dict> <string>) sur mon Mac concerne OSX.Prxl.2.

 

[bompi]

Au passage : le très bon TextWrangler est capable d'ouvrir les .plist qu'ils soient codés en binaire ou en XML.

 

[mokuchley]

ah merci, j'evite le terminal

attendons, qu'une bonne ame partage ici , cette fameuse mise a jour

dans le lien de bompi,pour les gens qui sont sous snows et lion , on parle d'un logiciel tierce qui va chercher la mise a jour

il me semble avoir lu que les gens déjà contaminés par Iworm, ne verront pas la résolution grace a la mise a jour de xprotect
elle ne s'adresse donc qu'au mac non-vérolé

mais d'ailleurs que fait Xprotect ; il interdit son entrée, il le met en quarantaine

---------- Nouveau message ajouté à 13h31 ---------- Le message précédent a été envoyé à 13h29 ----------

merci, bompi pour l'info de textwrangler, j'ai déjà remarqué que text-edit ne les ouvre pas tous

 

[Stephlelion]

Bonjour à tous,
Faisant partie des "débutants-moyens" je me penche sur cette mise à jour... que je ne trouve pas !

Je précise d'entrée que je tourne sous OSX 10.9.5 !

Plus concrètement : on nous dit qu'on peut contrôler le contenu ou la présence de cette mise à jour via la commande terminal : more /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist

Voici mon résultat (il manque des choses, non ?)

Last login: Tue Oct 7 14:01:57 on ttys001
iMac-de-Stephan:~ xxx$ more /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<array>
<dict>
<key>Description</key>
<string>OSX.NetWeird.ii</string>
<key>LaunchServices</key>
<dict>
<key>LSItemContentType</key>
<string>com.apple.application-bundle</string>
</dict>
<key>Matches</key>
<array>
<dict>
<key>MatchType</key>
<string>MatchAny</string>
<key>Matches</key>
<array>
<dict>
<key>Identity</key>
<data>
System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist

--------------------------
Et ici la commande : more /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist

Last login: Tue Oct 7 14:18:45 on ttys000
iMac-de-Stephan:~ xxx$ more /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>JavaWebComponentVersionMinimum</key>
<string>1.6.0_45-b06-451</string>
<key>PlugInBlacklist</key>
<dict>
<key>10</key>
<dict>
<key>com.apple.java.JavaAppletPlugin</key>
<dict>
<key>MinimumPlugInBundleVersion</key>
<string>14.8.0</string>
<key>PlugInUpdateAvailable</key>
<true/>
</dict>
<key>com.apple.java.JavaPlugin2_NPAPI</key>
<dict>
<key>MinimumPlugInBundleVersion</key>
<string>14.8.0</string>
<key>PlugInUpdateAvailable</key>
m/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist
--------------------------

La seule référence que je trouve via Onyx est la version définition N° 2049 alors que la 2050 est sortie et je ne la possède pas !

Pouvez-vous me guider et me renseigner comment faire
D'avance merci !

 

[mokuchley]

je ne sais vous renseigner
par contre n'indiquer jamais le veritable nom de votre ordi que l'on voit dans les deux plist. retirer le dés que possible

si vous voulez avoir toute la liste, vous suivez le chemin a partir de système/bibliotheque ...etc, il s'ouvre avec text-edit

comme c'est du code; je ne sais quoi recherché, et dans la plist de Xprotect il n'y a pas de date

 

[Stephlelion]

Merci pour votre conseil, j'ai corrigé le tir.
En attendant de mieux !

 

[FrançoisMacG]

Pouvez-vous me guider et me renseigner comment faire

Bah, non : c'est justement le sujet de ce fil !


more me donne les mêmes résultats,
c'est-à-dire l'intégralité de ce que Coup d'&#339;il affiche pour le meta.plist, et le premier élément de plist (Coup d'&#339;il ou TextEdit, voire TextWrangler = je suppose qu'il affiche du texte).

more était proposé pour vérifier la survenue d'une nouvelle mise à jour après avoir lancé XProtectUpdater via le Terminal (et XProtectUpdater a laissé la place à SoftwareUpdate en 10.9) : il était conseillé de lancer more avant et après
= more n'a pas d'intérêt tant qu'on ne sait pas comment lancer à volonté une mise à jour de XProtect.

Et man more me renvoie à less dans mon Terminal 10.9&#8230;

---------- Nouveau message ajouté à 15h11 ---------- Le message précédent a été envoyé à 15h10 ----------

dans la plist de Xprotect il n'y a pas de date

Les Informations Cmd+i du plist donnent la date de dernière modification.

 

[Stephlelion]

Voilà voilà... Je croyais que je ne savais pas faire / où regarder !
Je pense qu'il me reste plus qu'à patienter...
Merci tout de même !


---------- Nouveau message ajouté à 15h25 ---------- Le message précédent a été envoyé à 15h13 ----------

J'ai trouvé ceci sur le forum d'Apple : https://discussions.apple.com/thread/6580763?start=0&tstart=0
Mais je ne maitrise pas assez l'anglais pour être sur s'il faudrait installer ce fichier ?

 

[FrançoisMacG]

Cette page précise que more &#8230; plist donnait la date de dernière mise à jour, avant Mavericks&#8230;

Une autre raconte qu'on pouvait utiliser cat à la place de more.


Et un sujet des Apple Communities affirme que les mises à jour de XProtect ne s'effectuent que si le menu Installer les fichiers de données système et les mises à jour de sécurité est coché.

 

[FrançoisMacG]

J'ai trouvé ceci sur le forum d'Apple : https://discussions.apple.com/thread/6580763?start=0&tstart=0
Mais je ne maitrise pas assez l'anglais pour être sur s'il faudrait installer ce fichier ?

Le sujet propose le téléchargement d'un installeur qui écrit une version récente (04/10/14) du plist et du meta.plist : iWorm en fait partie (merci Pacifist).

Mais il bute comme nous sur la façon précise de lancer manuellement la mise à jour de XProtect sur nos Macs.

Il invite à faire une recherche dans Console > /var/log > install.log à propos de 031-08850 :
ça me montre la volonté d'installer 4 updates (found 4 updates: 031-04978, 031-08037, 031-08691, 031-08850 ) quatorze fois en deux jours,
mais pas le message de succès (SoftwareUpdate: 4 enabled config-data product(s): 031-04978, 031-08037, 031-08691, 031-08850).
(031-08850 est iWorm)

A priori, le bug de Snow leopard est revenu en 10.9 :mad: :
il faut activer (ou désactiver puis réactiver) le menu Installer les fichiers de données système et les mises à jour de sécurité dans les Préférences Système (en quittant les Préférences Système immédiatement après) pour que les mises à jour se fassent dans les heures qui suivent.
Une différence entre 10.6 et 10.9 est qu'il faut redémarrer le Mac pour que le changement soit enregistré par le Mac.
Je vais faire le test.

 

[FrançoisMacG]

J'ai donc activé le menu hier en fin d'après-midi, en évitant soigneusement de demander une mise à jour de logiciels d'une quelconque façon,

et ce matin, au réveil de mon Mac, install.log a tout de suite constaté que j'avais activé les bons menus dans les Préf Système :

SoftwareUpdate: Automatic check parameters: autoDownload=YES, autoConfigData=YES, autoCriticalInstall=YES

les quatre mises à jour se sont effectuées en 2 minutes,

des receipts ont été écrits, dont celui pour iWorm :

PackageKit: Writing receipt for com.apple.pkg.XProtectPlistConfigData.12U4031 to /private/var/db/receipts

et le XProtect.plist a été mis à jour à la date du 04/10/14 (dans la version téléchargeable sur le sujet des Apple Communities pointé par Stephlelion).


En épluchant les messages de install.log, je vois que SoftwareUpdate: Automatic check parameters: se lance à chaque réveil de mon Mac (soit deux à quatre fois par jour),
et que l'activation du menu des Préf Système a inscrit YES au lieu de NO pour autoDownload et autoConfigData.


Conclusions :
- le menu Installer les fichiers de données système et les mises à jour de sécurité doit être coché pour que XProtect soit mis à jour,
ainsi que Recherche des mises à jour automatique, bien sûr ;

- si les menus sont cochés et que Xprotect ne se met pas à jour, je conseille de décocher les menus, quitter Préf Système dans la foulée, redémarrer le Mac,
puis recocher les menus et quitter+redémarrer : la sortie de veille suivante pourrait alors être la bonne
(pour les fureteurs : vérifier autoDownload dans la Console avant et après ces manœuvres devrait/pourrait montrer un changement).