Apple ohne Patch für DNS-Lücke
Als einziger der großen Hersteller stellt Apple bislang noch keinen Patch zum kritischen DNS-Problem bereit, obwohl OS-X-Systeme durchaus gefährdet sind und die Angriffe bereits laufen.
Anders als Microsoft und die Linux-Distributoren stellt Apple noch keinen Patch gegen das aktuelle Sicherheitsproblem im Domain Name Service bereit. Da die ersten Angriffe bereits laufen, sollte zumindest unverzüglich handeln, wer einen OS-X-Server für DNS nutzt.
Bereits im März entdeckte Dan Kaminsky ein massives Sicherheitsproblem in dem Verfahren, mit dem Namen wie www.heise.de in IP-Adressen wie 193.99.144.85 aufgelöst werden. Es war offenbar möglich, ohne großen Aufwand beliebige Zugriffe im Internet auf andere Rechner umzuleiten. Er verständigte alle wichtigen Hersteller – laut Rich Mogull, der nach eigenen Aussagen involviert war, auch Apple – und diese einigten sich angesichts der drohenden Gefahr auf ein gemeinsames Vorgehen.
Am 8. Juli veröffentlichten Microsoft, Cisco, ISC, Red Hat, Ubuntu und viele andere Hersteller erstmals gleichzeitig Updates, die das Ausnutzen der Lücke deutlich erschweren, mit einem dringenden Hinweis, diese schnellstmöglich zu installieren. Die Details der Schwachstelle versuchte man damals noch unter der Decke zu halten, um Anwendern und vor allem Server-Betreibern Zeit zu geben, die Patches zu testen und einzuspielen.
Doch mittlerweile ist die Katze aus dem Sack; die Schwachstellen wurden lokalisiert und es gibt bereits erste Tools, die demonstrieren, wie man in kurzer Zeit die Namensauflösung eines DNS-Servers vergiften und damit Zugriffe auf beliebige Web-Seiten umdirigieren kann. Erste Angriffe wurden ebenfalls schon vermeldet.
Unverständlich ist, warum es bislang keine diesbezüglichen Sicherheitshinweise und Updates von Apple gibt. Immerhin nutzt OS X Server BIND, eine der meist verwendeten DNS-Server-Implementierungen, die ebenfalls anfällig für das Sicherheitsproblem ist. Dessen Hersteller stellte allerdings von Beginn an ein Update bereit, das sich ohne allzu großen Aufwand auf das Unix-artige OS X portieren lassen sollte. Laut Mogull sind wie bei den anderen Betriebssystemen prinzipiell auch die Client-Implementierungen des DNS angreifbar. Die aktuellen Angriffe konzentrieren sich jedoch auf Server, sodass noch kein Anlass zur Panik besteht.
Wer einen OS-X-Server betreibt, sollte diesen vorübergehend nicht zur Namensauflösung verwenden. Als Alternative kann er beispielsweise den DNS-Server seines Internet-Providers einsetzen, der hoffentlich die Updates bereits eingespielt hat. Dieser DNS-Server kann dann allerdings keine lokalen Namen auflösen. Anwender, die OS X als Desktop-System nutzen, sollten darauf achten, dass sie einen sicheren DNS-Server nutzen. Testen kann man dies unter anderem bei DNS-OARC oder bei Dan Kaminsky. Sollte sich bestätigen, dass auch die DNS-Caches der OS-X-Clients direkt angreifbar sind, können Anwender nur hoffen, dass auch Apple Patches bereit stellt, bevor die ersten Angriffe auf Clients beginnen.
Siehe dazu auch:
- Erste Angriffe auf Nameserver beobachtet
- Exploits für DNS-Schwachstellen veröffentlicht
- Details zum DNS-Sicherheitsproblem veröffentlicht
- Reaktionen auf DNS-Angriffszenario bei deutschen CERTS und Netzknoten
- Massives DNS-Sicherheitsproblem gefährdet das Internet
(ju)
