998542

Neue "alte" Sicherheitslücken in Safari und OS X Server

28.07.2008 | 13:05 Uhr |

Apple liefert Sicherheitspatches oft nur langsam aus. Wieder gibt es neue Lücken, die bei der Konkurrenz bereits lange geschlossen sind.

Im März entdeckte der Sicherheitsexperte Dan Kaminsky eine Lücke im Domain Name Service. Dieser Dienst dient bei Webservern dazu, den eingegebenen Domainnamen in eine eindeutig zugeordnete IP-Adresse umzuwandeln. Die entdeckte Lücke ermöglicht es, diesen Eintrag zu manipulieren. Damit ist es möglich, einen Nutzer auf eine ganz andere Seite umzuleiten, selbst wenn er die Adresse korrekt eintippt.

Microsoft und diverse Distributoren von Linux haben am 08. Juli Updates für ihre Server-Betriebssysteme veröffentlicht. Bis dahin war die konkrete Vorgehensweise, wie man die Schwachstelle ausnutzt, nicht bekannt. Dies hat sich geändert. Laut dem IT-Dienst heise existieren bereits Anleitungen und Tools, um den DNS anzugreifen, auch konkrete Angriffe soll es bereits geben.

Apple hat bislang jedoch weder auf die Sicherheitslücke in Mac-OS Server hingewiesen, noch einen Patch zur Verfügung gestellt. Laut heise hat der Entwickler des DNS in OS X Server bereits von Anfang an einen Patch bereitgestellt, Apple hätte diesen nur anpassen müssen. Dan Kaminsky bietet auf seiner Webseite einen Test für den verwendeten DNS an.

Vier Jahre alte Schwachstelle

Apple Browser Safari leidet ebenfalls unter einen alten Schwachstelle. Heise berichtet, dass Safari für so genannte "Session-Fixation-Angriffe" verwundbar wäre. Dabei können Angreifer auf bestimmten Webseiten die Session-ID eines Internetnutzers kapern und unter dessen Identität diese Seite betreten. In anderen Browsern wie dem Internet Explorer und Firefox trat diese Schwachstelle laut heise vor etwa vier Jahren auf und wurde damals geschlossen.

0 Kommentare zu diesem Artikel
998542