DNS-Lücke in Mac OS X weiter ungepatcht

Drei Wochen nach Bekanntwerden der Sicherheitslücke im Domain Name System (DNS) hat Apple bisher noch kein Update für Mac OS X veröffentlicht. „Apple nutzt den populären BIND-DNS-Server des Internet Systems Consortium (ISC) für Mac OS X Server. Obwohl der BIND-Server zu den ersten Anwendungen gehört, für die ein Update zur Verfügung stand, hat Apple die korrigierte Version noch nicht für Mac OS X Server freigegeben“, kritisiert der Sicherheitsforscher Rich Mogull in einem Blogeintrag.

Paul Vixie vom Internet Systems Consortium sagt jedoch, dass das aktuelle Release P1 des BIND-DNS-Servers eventuell nicht ganz ausgereift sei. „Wir haben ein mögliches Performance-Problem festgestellt. Angesichts der begrenzten Zeit für einen DNS-Patch und des hohen Risikos haben wir uns entschieden, das Update zu veröffentlichen.“ Seiner Ansicht nach sollte man einem sicheren System den Vorzug einräumen vor möglichen Serverproblemen. Das Release P2 für die BIND-Versionen 9.3.5, 9.4.2 und 9.5.0 kündigte Vixie noch für diese Woche an.

„Wenn der BIND-Server instabil ist, dann wäre meine Empfehlung für Apple, einen vorläufigen Patch für diejenigen anzubieten, die Mac OS X Server als rekursiven DNS-Server einsetzen“, sagte Mogull. „Da bereits aktive Exploits im Umlauf sind, ist Verzicht auf einen Patch keine brauchbare Option.“ Er wisse allerdings nicht genau, welchen Einfluss die Instabilität des BIND-Servers auf Mac OS X Server habe. Nach Auskunft von Mogull sind Nutzer der Desktop-Version von Mac OS X bisher nicht in Gefahr, da alle im Umlauf befindlichen Exploits den DNS-Cache von Webservern angreifen.