Apple krytykowane za niezałataną lukę w DNS

Firma Steve'a Jobsa stała się celem krytyki ekspertów ds. komputerowego bezpieczeństwa. Powodem tego jest brak aktualizacji dla systemu operacyjnego Mac OS X, zawierającej łatę dla niebezpiecznej luki w protokole Domain Name System.

Przypomnijmy, że błąd w DNS polegał na tym, iż wysłanie do serwera DNS serii odpowiednio przygotowanych zapytań mogło spowodować automatyczne przekierowanie "ofiary" z bezpiecznej witryny na niebezpieczną, a atakowany internauta nawet by tego nie zauważył. Stosowne patche zostały przygotowane w pierwszej połowie lipca (więcej informacji na ten temat znajduje się w artykule Patch dla Internetu - DNS załatany).

Apple w swoich systemach operacyjnych opiera się na open source'owym serwerze DNS o nazwie Berkeley Internet Name Domain. BIND został załatany przez producenta - Internet Systems Consortium (ISC) - 8 lipca, od tego czasu jednak nie wydano aktualizacji dla Mac OS X.

Ekspert ds. zabezpieczeń, który wykrył lukę w DNS - Dan Kaminsky - twierdzi, że koncern z Cupertino został powiadomiony o błędzie jeszcze przed udostępnieniem łaty. Kaminsky podkreśla jednak, że byłby jeszcze bardziej zmartwiony tym faktem, gdyby liczba serwerów pracujących pod kontrolą Mac OS X była wyższa. Jego zdaniem ważniejsze jest, aby skupić się na tych producentach, z których DNS-ami ma styczność większa liczba użytkowników.

Poglądu tego nie popiera niezależny badacz Rich Mogull (niegdyś analityk firmy Gartner), który uważa, że problemu nie należy bagatelizować, zwłaszcza w wypadku osób (firm) których wszystkie serwery "stoją" na Mac OS X oraz w wypadku ogólnie rozumianej społeczności użytkowników Maków.

"Użytkownicy muszą się zastanawiać, czy Apple w ogóle interesuje kwestia luki w DNS. My nie wiemy nic. Dlaczego Apple nie może po prostu opublikować jednozdaniowego oświadczenia z informacją, że wie o luce i udostępni patch w ciągu następnych 30 lub 60 dni?" - mówi z kolei Andrew Storms z firmy nCircle Network Security Inc (cytujemy za serwisem Computerworld.com). Storms dodaje, że w wypadku większości luk, które łata Apple w aktualizacjach dla swoich produktów, trudno ocenić, jak długo trwa ich wewnętrzny cykl rozwojowy, ale tym razem nadarza się szansa sprawdzenia, jak szybko Apple może zareagować na zagrożenia.

R. Mogull zalecałby koncernowi ściślejszą współpracę ze społecznością open source, zwłaszcza z programistami odpowiedzialnymi za kod zintegrowany z Mac OS X, m.in. właśnie BIND oraz zmianę podejścia do kwestii bezpieczeństwa. "Apple naprawdę musi zmienić swoje praktyki. Produkuje świetny system operacyjny, ale będzie się on stawał coraz częściej celem ataków" - uważa ekspert.

Więcej informacji; Computerworld


Zobacz również