Wie jetzt bekannt wurde, hat der Sicherheitsforscher Dan Kaminsky Anfang des Jahres einen fundamentalen Fehler im Domain Name System (DNS) entdeckt. Die Lücke wird durch gestern erschienene Patches zahlreicher Unternehmen geschlossen.
Aufgrund des Fehlers kann die Transaktions-ID erraten werden, die bei der Übersetzung eines Domainnamens in die im Internet gebräuchlichen IP-Adressen vergeben wird. In der Folge können Cyberkriminelle einen manipulierten Server als Server einer Bank oder eines Online-Shops ausgeben.
Kaminsky, der bei IO Active für Penetrationstests zuständig ist, erklärte, er habe sich bereits Ende März mit 16 Forschern bei Microsoft getroffen, um die von ihm entdeckte Schwachstelle zu erläutern und nach Möglichkeiten einer Fehlerbehebung zu suchen. Daraufhin hätten sich unter anderem Microsoft, Cisco, Sun Microsystems und ISC BIND entschlossen, ihre Updates zeitgleich zu veröffentlichen. Im Fall von Microsoft ist der Fix Teil des Sicherheitsbulletins MS08-037, das seit gestern im Rahmen des monatlichen Patchdays verfügbar ist.
Nach Angaben des US-Cert sind alle Anbieter von DNS-Servern und -Clients von dem Problem betroffen. Die beteiligten Unternehmen haben vereinbart, dass 30 Tage ab der Bereitstellung der ersten Updates, also ab dem gestrigen Dienstag, keine technischen Details zu der Sicherheitslücke veröffentlicht werden sollen. Dadurch will man genug Zeit gewinnen, um alle betroffenen Systeme mit Updates zu versorgen.
Auf seiner Website bietet Kaminsky einen DNS-Checker an, mit dem Internetnutzer überprüfen können, ob die von ihnen benutzten DNS-Server von der Schwachstelle betroffen sind. Zahlreiche Internet Service Provider haben eine sofortige Aktualisierung ihrer DNS-Server angekündigt.
Neueste Kommentare
3 Kommentare zu Lücke im Domain Name System geschlossen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Alle warten auf Microsoft?
Gestern war Patchday, und alle veröffentlichten zeitgleich ihre Patches. Das heißt, alle anderen waren längst fertig und warteten nur noch auf Microsoft?
Systemwiederherstellung gemacht…
Hallöchen,
habe die Updates vor 20 Minuten installiert, Rechner neu hochgefahren.
Dann war leider nix mehr mit Internet.
Verbindung zum WLan Router stand zwar, aber weder Outlook, noch Internetexplorer konnten sich mit dem Internet verbinden.
Nach einer Systemwiederherstellung habe
ich wieder Internet. Also vorsicht mit den neuen Updates, Leute.
AW: Systemwiederherstellung gemacht…
Vielleicht hätte man mal das System, wie empfohlen, neu starten sollen?