Apples DNS-Update ist fehlerhaft

Mehrere Sicherheitsexperten haben festgestellt, dass der von Apple am Freitag veröffentlichte Patch die Lücke im Domain Name System (DNS) nicht vollständig schließt. „Es scheint, dass Apple etwas vergessen hat“, schreibt Andrew Storms, Sicherheitschef bei nCircle in einem Blogeintrag. „Auf meinem Client-System mit Mac OS X 10.4.11 wird nach dem Patch der Quell-Port immer noch nicht zufällig ausgewählt.“

Durch einen Fehler im DNS können Angreifer die Transaktions-ID erraten, die bei der Übersetzung eines Domainnamens in die im Internet gebräuchlichen IP-Adressen verwendet werden. Durch die zufällige Auswahl des Quell-Ports soll das Erraten der Transaktions-ID erschwert werden. Der Patch funktioniert laut Storms nur unter den Server-Versionen von Mac OS X. Desktop- oder Client-Systeme seien zwar von den im Umlauf befindlichen Exploits nicht betroffen, aber grundsätzlich genauso angreifbar wie Nameserver.

Nach Auskunft des Sans Institute ist auch Mac OS X 10.5.4 von dem unvollständigen Update betroffen. Apple wollte auf Nachfrage die Berichte nicht kommentieren und auch keine Angaben zu einer neuerlichen Fehlerkorrektur machen.

In der Zwischenzeit haben verschiedene Hersteller von Netzwerkprodukten eingeräumt, dass ihre Geräte die zufällige Vergabe eines Source-Ports unterbinden und somit die Wirksamkeit verschiedener Patches einschränken. Cisco erklärte, dass Netzwerkgeräte mit Port Address Translation eine vorhersehbare Methode für die Vergabe von Ports verwenden. Nach Angaben der US-Cert sind auch Produkte von Juniper Networks betroffen.