Apple schließt kritische NTP-Sicherheitslücke

Apple hat am Montag ein Sicherheitsupdate veröffentlicht, das ein Leck im Network Time Protocol (NTP) schließt. Das Protokoll dient zur Synchronisation der Zeit auf Computer-Systemen. Die Schwachstelle wurde von Neil Mehta und Stephen Roettger, Mitarbeiter des Google Security Teams, entdeckt. Letztes Wochenende hatten das Department of Homeland Security und das Carnegie Mellon University Software Engineering Institute in Security-Bulletins vor dem verbreiteten Fehler gewarnt.

Gegenüber Reuters bestätigt Apple-Sprecher Bill Evans, dass man das Update zum ersten Mal automatisch ausgeliefert habe. Das Verfahren hatte Apple vor etwa zwei Jahren vorgestellt, aber es bisher nicht genutzt. Laut Evans habe man sich aufgrund des hohen Risikos, das von dem Leck ausgeht, für diesen Weg entschieden. Damit sollen die Nutzer möglichst schnell vor möglichen Angriffen geschützt werden. Bislang seien jedoch keine aktiven Angriffe über das NTP-Leck bekannt. Das Update erfordert keinen Neustart. Bislang hat Apple Sicherheitsaktualisietungen stets über das normale Software-Update-System ausgerollt, bei dem auch die Interaktion eines Nutzers nötig ist.

Die Aktualisierung steht für OS-X-Versionen Mountain Lion 10.8.5, Mavericks 10.9.5 und Yosemite 10.10.1 zur Verfügung. Laut Apple könnten Hacker über die Schwachstelle beliebigen Code remote auf einem System ausführen. Dafür seien mehrere Fehler in NTPD verantwortlich, die über Pufferüberläufe ausgenutzt werden konnten.

Die Lecks seien über eine verbesserte Fehlerüberprüfung behoben worden. Nutzer können laut Apple über den Terminal-Befehl „what /usr/sbin/ntpd“ überprüfen, ob sie eine aktuelle NTPD-Version installiert haben, teilt der Hersteller mit. Die aktuellen und sicheren Versionen lauten bei Mountain Lion ntp-77.1.1, bei Mavericks ntp-88.1.1 und bei Yosemite ntp-92.5.1.

Außer OS X sind auch andere Linux-basierte Betriebssysteme von der Schwachstelle im NTP-Dämon betroffen. Lauf DFN sind die Fehler vor Version 4.2.8 enthalten. Entsprechende Updates stehen unter anderen für Red Hat, SuSe und Ubuntu zur Verfügung.

[Mit Material von Martin Schindler, silicon.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de