Seit rund zwölf Jahren überwacht Gatekeeper, welches Programm auf einem Mac starten darf und welches nicht. Bei der Installation von OS X 10.8 (Mountain Lion) war dieser Mechanismus erstmals standardmäßig aktiv; fortan gewährten Macs nur noch mit aktuellem Entwickler-Zertifikat signierten Apps den hürdenfreien Start auf dem Mac. Zusätzlich zur Signatur scannt macOS ein Programm zudem nach Bestandteilen von bekannter Malware. Die dafür notwendige Datenbank XProtect hält Apple automatisch und unsichtbar aktuell: Besteht eine Internetverbindung, lädt macOS regelmäßig neue Malware-Signaturen. Unter macOS Sonoma wechselte Apple dafür den Installationsort. Seitdem läuft die Aktualisierung etwas behelfsmäßig und ist deshalb fehleranfällig. Anwender können mit einem Kommandozeilenbefehl nachhelfen.


Seit ihrer Einführung befand sich die XProtect-Datenbank stets am selben Ort innerhalb der macOS-Dateihierarchie, berichtet Apple-Veteran Howard Oakley in seinem Blog-Beitrag zu XProtect: Unter „/Library/Apple/System/Library/CoreServices“ findet sich die Datei „XProtect.bundle“. Darin versammeln sich die aktuellen Malware-Signaturen. Bis zu macOS 13 (Ventura) wird dieses Dateibündel bei einer Aktualisierung durch die neue Version ersetzt. Das übernahm der Prozess „softwareupdate“. In macOS 14 liegt die aktive Version des XProtect-Bundles im Ordner „/var/protected/xprotect“.

Aktuell über Umwege
Oakley beobachtete, dass sie in macOS Sonoma über einen Umweg aktualisiert wird, denn auch in macOS 14 lädt die systemeigene Aktualisierungsroutine eine neuere XProtect-Datenbank herunter und legt sie im CoreServices-Ordner ab. Damit diese nun auch im aktiven Ablageort landen, überprüft Xprotect täglich, ob eine neue Version am alten Ablageort aufgetaucht ist. Trifft dies zu, kopiert der Prozess relevante Bestandteile in die aktive Datenbank am neuen Ort. Gelegentlich hakt diese zweite Stufe, dann kommt das Update nicht im System an. Um die Überprüfungsroutine manuell zu starten, gibt man in der Kommandozeile folgenden Befehl ein:


Nach Bestätigung mit der Eingabetaste gibt man noch das Administrator-Kennwort ein, und die Routine übernimmt die am alten Ort heruntergeladene Version in den aktiven Bereich.

Demnächst Updates über iCloud?
Laut Oakley sieht macOS Sonoma einen zweiten, derzeit ungenutzten Update-Weg vor: CloudKit kann seinen Erkenntnissen nach die Datenbank unter „/var/protected/xprotect“ direkt aktualisieren. Allerdings fanden bisher alle XProtect-Updates unter macOS 14 über den alteingesessenen Update-Prozess statt. Wann Apple endgültig auf eine Auslieferung per iCloud umstellt, ist ungewiss – diese Mechanismen hat Apple nicht öffentlich dokumentiert. Standardmäßig können Mac-Anwender nicht ohne Weiteres überprüfen, ob die XProtect-Datenbank aktuell ist. Oakley bietet dafür ein kostenloses grafisches Werkzeug namens SilentKnight an. Bis zu macOS Ventura kann SilentKnight eine Aktualisierung selbst anstoßen. Für Sonoma bittet Oakley um Geduld: Version 3 befindet sich in Entwicklung und soll noch dieses Jahr erscheinen – und dann auch unter macOS 14 (und 15) ein Update der Malware-Datenbank initiieren.