Die Veröffentlichung von macOS 15 Sequoia am 16. September 2024 hat bei Sicherheitsexperten und IT-Administratoren erhebliche Bedenken ausgelöst. Zahlreiche Berichte belegen schwerwiegende Netzwerkprobleme, die die Funktionalität von Endpoint Detection and Response (EDR)-Lösungen, VPN-Diensten und Webbrowsern beeinträchtigen.
Weitreichende Auswirkungen auf Sicherheitssoftware
Seit der Veröffentlichung von macOS 15 Sequoia häufen sich Berichte über Fehlfunktionen bei wichtigen Sicherheitsanwendungen. Nutzer klagen über Probleme mit CrowdStrike Falcon und ESET Endpoint Security, zwei führenden EDR-Lösungen. Die Störungen erstrecken sich auch auf Firewalls, was zu Paketbeschädigungen führt und SSL-Fehler in Browsern sowie Funktionsstörungen bei wget und curl verursacht.
In einem nicht-öffentlichen Bulletin, das Bleeping Computer vorliegt, rät CrowdStrike seinen Kunden ausdrücklich davon ab, auf macOS 15 zu aktualisieren. Das Unternehmen begründet dies mit Änderungen in den internen Netzwerkstrukturen von macOS 15 Sequoia und empfiehlt, das Update zu verschieben, bis ein vollständig kompatibler Mac-Sensor verfügbar ist.
Betroffene Nutzer: Mac-Systeme mit CrowdStrike, ESET, SentinelOne oder Mullvad VPN
Betroffen sind alle Mac-Systeme, auf denen nach dem Update auf macOS 15 Sequoia eine der folgenden Lösungen eingesetzt wird:
- CrowdStrike Falcon (EDR)
- ESET Endpoint Security
- SentinelOne-Agent
- Mullvad VPN oder unternehmenseigene VPN-Lösungen (Cisco AnyConnect, GlobalProtect)
- Jede Software, die sich auf die Network Extension API oder den Application Firewall Stack von macOS stützt
VPN-Dienste ebenfalls betroffen
Die Problematik beschränkt sich nicht nur auf Sicherheitssoftware. Anwender berichten von sporadischen Verbindungsabbrüchen bei der Nutzung von Mullvad VPN und verschiedenen Unternehmens-VPN-Lösungen, die für Remote-Arbeit unverzichtbar sind. Diese Störungen unterstreichen die weitreichenden Konsequenzen der Netzwerkänderungen in macOS 15 Sequoia für die IT-Infrastruktur von Unternehmen.
Technische Ursachen: Deprecated Firewall-API und Stealth Mode
Die Ursache liegt in Änderungen am Netzwerk-Stack von macOS 15. Apple hat in den Release Notes zu macOS 15 Sequoia bestätigt, dass eine Funktion im Betriebssystem-Firewall als veraltet markiert wurde. Die Änderung betrifft insbesondere:
- Die Art und Weise, wie Firewall-Einstellungen verwaltet werden (Application Firewall Store).
- Den Stealth Mode, der Geräte daran hindert, auf Ping-Anfragen und Verbindungsanfragen aus geschlossenen TCP/UDP-Ports zu reagieren.
- Die Network Extension API, auf die sich viele EDR- und VPN-Produkte für die Paketinspektion verlassen.
Reaktion der Hersteller und Workarounds
Die führenden Sicherheitsanbieter haben schnell reagiert:
- CrowdStrike: empfiehlt, das Update auf macOS 15 zu verschieben, bis eine vollständig kompatible Falcon-Version verfügbar ist.
- ESET: hat eine Anleitung veröffentlicht — temporäres Entfernen des ESET Network Filters aus den Systemeinstellungen behebt die Netzwerkprobleme. Diese Lösung funktioniert nur mit den neuesten ESET-Versionen.
- Microsoft: schlägt in einem Sicherheitsbulletin vor, den Stealth Mode in den macOS-Firewall-Einstellungen zu deaktivieren.
Patrick Wardle, bekannter macOS-Sicherheitsforscher, äußerte schwerwiegende Bedenken darüber, dass Apple das Betriebssystem in Kenntnis der bestehenden Probleme veröffentlicht hat — Hersteller von Sicherheitssoftware waren offenbar nicht ausreichend in den Beta-Testprozess eingebunden. IT-Administratoren sollten das Upgrade auf macOS 15 Sequoia in Unternehmensumgebungen zurückstellen, bis alle eingesetzten Sicherheitslösungen offiziell Kompatibilität bestätigen.
