Überfällig: Apple patcht DNS-Lücke

Das Update auf Mac OS X 10.5.5 behebt Sicherheitslücken in Apple-Software wie dem Finder, dem Backup-System Time Machine und im Mac-OS-Kernel, aber auch in diversen Open-Source-Komponenten wie Ruby ClamAV und OpenSSH. Alles in allem wurden mehr als 25 Sicherheits-Bugs beseitigt. Mindestens neun Patches beheben Schwachstellen, durch die Angreifer unerkannt Software auf dem Rechner des Opfers ausführen können.

Der bekannteste Bug ist zweifellos die gefährliche Schwachstelle im Domain Name Service (DNS). Wie andere Betriebssystemanbieter musste Apple ein Update für seine DNS-Software liefern, nachdem Sicherheitsexperte Dan Kaminsky ein massives Sicherheitsproblem in dem Verfahren entdeckt hatte, mit dem im Internet Domain-Namen in IP-Adressen umgewandelt werden. Dabei können Cyberkriminelle ihre Opfer mit so genannten Cache-Poisoning-Attacken auf Webseiten mit bösartigem Code dirigieren.

Das Apple-Update vom 31. Juli erwies sich jedoch als lückenhaft: Der Patch funktionierte nur bei den Server-Versionen von Mac OS x, nicht aber bei der Software für Clients. Mit dem Update vom Montag schließt Apple nun die Lücke in der Mac-OS-X Libresolv-DNS-Software. Weshalb Apple dies nicht schon beim Juli-Update getan hatte, war allgemein auf Unverständnis gestoßen, da das für Libresolv zuständige Internet Systems Consortium (ISC) rechtzeitig ein Update geliefert hatte.

Nach ersten Tests von Andrew Storms, Sicherheitschef bei nCircle, scheint der Patch nun aber endlich vollständig. Offenbar führt nun auch der Client die notwendige Source Port Randomization durch. Dabei wird der Port, von dem der Nameserver seine Abfrage sendet, zufällig ausgewählt, was Cache-Poisoning-Attacken erheblich erschwert. (PC-Welt/mja)