Mehrere Sicherheitsexperten haben festgestellt, dass der von Apple am Freitag veröffentlichte Patch die Lücke im Domain Name System (DNS) nicht vollständig schließt. „Es scheint, dass Apple etwas vergessen hat“, schreibt Andrew Storms, Sicherheitschef bei nCircle in einem Blogeintrag. „Auf meinem Client-System mit Mac OS X 10.4.11 wird nach dem Patch der Quell-Port immer noch nicht zufällig ausgewählt.“
Durch einen Fehler im DNS können Angreifer die Transaktions-ID erraten, die bei der Übersetzung eines Domainnamens in die im Internet gebräuchlichen IP-Adressen verwendet werden. Durch die zufällige Auswahl des Quell-Ports soll das Erraten der Transaktions-ID erschwert werden. Der Patch funktioniert laut Storms nur unter den Server-Versionen von Mac OS X. Desktop- oder Client-Systeme seien zwar von den im Umlauf befindlichen Exploits nicht betroffen, aber grundsätzlich genauso angreifbar wie Nameserver.
Nach Auskunft des Sans Institute ist auch Mac OS X 10.5.4 von dem unvollständigen Update betroffen. Apple wollte auf Nachfrage die Berichte nicht kommentieren und auch keine Angaben zu einer neuerlichen Fehlerkorrektur machen.
In der Zwischenzeit haben verschiedene Hersteller von Netzwerkprodukten eingeräumt, dass ihre Geräte die zufällige Vergabe eines Source-Ports unterbinden und somit die Wirksamkeit verschiedener Patches einschränken. Cisco erklärte, dass Netzwerkgeräte mit Port Address Translation eine vorhersehbare Methode für die Vergabe von Ports verwenden. Nach Angaben der US-Cert sind auch Produkte von Juniper Networks betroffen.
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…