Für ein stabiles und sicheres Betriebssystem sind regelmäßige Sicherheitsüberprüfungen notwendig. Seit über zehn Jahren integriert Apple für diesen Zweck ein autonomes System namens XProtect in macOS; dieses lädt eigenständig aktuelle Schadsoftware-Signaturen herunter und überprüft neu heruntergeladene Programme und Dateien auf bekannte Gefahren. Dies läuft automatisch und unauffällig im Hintergrund. Das ist praktisch, birgt aber auch eine Gefahr: Hakt der Automatismus, bekommen Anwender nichts davon mit. Dies scheint aktuell der Fall zu sein bei macOS 15 (Sequoia), wie Howard Oakley berichtet: Auf einigen Macs kommen aktuelle Schadsoftware-Definitionen nicht an.


Die am 4. März veröffentlichte Version 5289 von XProtect.yara kommt bei einigen Macs nicht zur Anwendung, sie verwenden weiterhin Version 5288 vom 28. Februar. Dies herauszufinden stellt eine Herausforderung dar: macOS behält die verwendete Version von XProtect für sich. Oakley bietet mit SilentKnight ein kostenloses Programm an, welches sicherheitsrelevante Systemkomponenten überprüft und auf Diskrepanzen aufmerksam macht. Sein iMac Pro verwendet das aktuelle XProtect-Bundle nicht; in den Kommentaren zu seinem Beitrag über die XProtect-Aktualisierung meldeten sich weitere Anwender mit demselben Problem.


Doppelte Ausspielung als Ursache?
Eventuell spielt hier eine Änderung herein, welche Apple im Herbst 2024 vorgenommen hat: Neuerdings gelangen neue Versionen der Datei XProtect.bundle auf zwei Wegen auf den Mac. So wird sie wie gehabt über Softwareaktualisierung im Ordner „/Library/Apple/System/Library/CoreServices/“ abgelegt und aktuell gehalten. Zusätzlich landet jedoch auch eine Version der Datei im Ordner „/var/protected/xprotect“ – diese wiederum hält iCloud aktuell. Die aktuelle Version 15.3.1 von macOS Sequoia nutzt exklusiv die von iCloud aktualisierte Fassung. Selbst ein manuelles Anstoßen einer Überprüfung via


überprüft lediglich den Ordner /var/protected/xprotect auf eine neue Version. Bei einigen Macs kommt dort die neueste XProtect-Version allerdings nicht an, während die via Softwareaktualisierung installierte Variante längst in einer neueren Version vorliegt. Das konnten wir an einem Mac mit macOS 15.3.1 nachvollziehen; auch ein Mac mit einer Public Beta von macOS 15.4 zeigte dieses Problem. Macs mit älteren macOS-Versionen nutzen exklusiv die XProtect-Version, welche über Softwareupdate ausgespielt wird, und nutzen längst XProtect in Version 5289.

Apple muss nachbessern
Ob nun die Ausspielung via iCloud das Problem darstellt oder es im systeminternen Mechanismus hakt – Anwender sind auf eine baldige Reparatur seitens Apple angewiesen. Aktuell bleiben einige (nicht alle) Macs auf einer veralteten Version von XProtect und haben keine Möglichkeit, sie manuell zu aktualisieren. Besonders pikant: Den meisten Nutzern wird nicht einmal bewusst, dass die systemeigenen Überprüfungsmechanismen „XProtect“ sowie „XProtect Remediator“ mit veralteten Signaturen arbeiten.