Apple - patch dla DNS nie rozwiązuje problemu

Chodzi o uaktualnienie udostępnione przez Apple 1 sierpnia - miało ono zabezpieczać Mac OS X/Mac OS X Server przed atakiem, wykorzystującym wykrytą przez Dana Kaminsky'ego lukę w systemie DNS. Błąd ten pozwala m.in. na zwabianie internautów na niebezpieczne strony - przy czym "ofiara" przez cały czas będzie sądziła, że znajduje się na zaufanej witrynie. Szerzej na temat tego problemu pisaliśmy w tekście "Patch dla Internetu - DNS załatany".

Pierwsze oficjalne informacje o luce pojawiły się na początku lipca - wtedy też producenci oprogramowania (m.in. serwerów DNS, ale także systemów operacyjnych) zaczęli udostępniać uaktualnienia, zabezpieczające internautów przed takimi atakami (załatanie samej luki w DNS będzie o wiele bardziej czasochłonnym i skomplikowanym procesem). Warto odnotować, że wszyscy liczący się producenci oprogramowania - w tym również Apple - zostali poinformowani o problemie wcześniej, tak, aby mogli na początek lipca przygotować poprawki. Firma Jobsa najwyraźniej potrzebowała więcej czasu na stworzenie i przetestowanie uaktualnienia - swoją łątkę dla DNS Apple udostępnił dopiero 1 sierpnia.

Problem w tym, że - jak się właśnie okazało - patch ten nie do końca rozwiązuje problem. "Poprawka Apple'a nie wprowadza zasady wymuszania losowego przypisania parametru "query ID" u klienta - a to jest najskuteczniejszy sposób na zablokowanie ataku. Dla Apple'a najważniejsze powinno być zabezpieczenie systemu operacyjnego, ponieważ rekursywne serwery OS X nie są zbyt popularne. Problem w tym, że system nie został zabezpieczony - Mac OS X wciąż jest podatny na atak typu DNS spoofing" - tłumaczy Andrew Storms, szef działu bezpieczeństwa firmy nCircle.

Spostrzeżenia Stormsa potwierdza Swa Frantzen, badacz z Sans Institute - "Apple rozwiązał większość problemów z serwerem, ale nie zrobił wszystkiego, co powinien, z systemem operacyjnym z którego korzystają zwykli użytkownicy. Biblioteki klienta DNS w Mac OS X wciąż wymagają załatania" - mówi Frantzen.