Lücke im Domain Name System geschlossen

Wie jetzt bekannt wurde, hat der Sicherheitsforscher Dan Kaminsky Anfang des Jahres einen fundamentalen Fehler im Domain Name System (DNS) entdeckt. Die Lücke wird durch gestern erschienene Patches zahlreicher Unternehmen geschlossen.

Aufgrund des Fehlers kann die Transaktions-ID erraten werden, die bei der Übersetzung eines Domainnamens in die im Internet gebräuchlichen IP-Adressen vergeben wird. In der Folge können Cyberkriminelle einen manipulierten Server als Server einer Bank oder eines Online-Shops ausgeben.

Kaminsky, der bei IO Active für Penetrationstests zuständig ist, erklärte, er habe sich bereits Ende März mit 16 Forschern bei Microsoft getroffen, um die von ihm entdeckte Schwachstelle zu erläutern und nach Möglichkeiten einer Fehlerbehebung zu suchen. Daraufhin hätten sich unter anderem Microsoft, Cisco, Sun Microsystems und ISC BIND entschlossen, ihre Updates zeitgleich zu veröffentlichen. Im Fall von Microsoft ist der Fix Teil des Sicherheitsbulletins MS08-037, das seit gestern im Rahmen des monatlichen Patchdays verfügbar ist.

Nach Angaben des US-Cert sind alle Anbieter von DNS-Servern und -Clients von dem Problem betroffen. Die beteiligten Unternehmen haben vereinbart, dass 30 Tage ab der Bereitstellung der ersten Updates, also ab dem gestrigen Dienstag, keine technischen Details zu der Sicherheitslücke veröffentlicht werden sollen. Dadurch will man genug Zeit gewinnen, um alle betroffenen Systeme mit Updates zu versorgen.

Auf seiner Website bietet Kaminsky einen DNS-Checker an, mit dem Internetnutzer überprüfen können, ob die von ihnen benutzten DNS-Server von der Schwachstelle betroffen sind. Zahlreiche Internet Service Provider haben eine sofortige Aktualisierung ihrer DNS-Server angekündigt.