Das Netzwerk-Authentisierungsprotokoll ‘Kerberos’ weist drei schwerwiegende Lücken auf, wie das Massachusetts Institute of Technology (MIT) mitteilte. Betroffen sind die Betriebssysteme Solaris, Mac OS X sowie einige Linux-Distributionen. Windows-Systeme greifen ebenfalls auf die Kerberos-Methoden zurück, verwenden jedoch eigenen Code und sind daher nicht von dem Fehler betroffen.
Eine manipulierte Anfrage über eine TCP-Verbindung kann das Key Distribution Center (KDC) zum Absturz bringen. Ebenfalls über TCP oder über das User Datagram Protocol wird der zweite und schwerwiegendere Fehler ausgenutzt. Hier kann ein Heap-Overflow provoziert werden, in dessen Folge dann beliebiger Code nachgeschoben werden kann und das mit Administratorrechten. Zudem könnte ein Angreifer auch die Authentisierung unter seine Kontrolle bringen. Ein Angriff sei zwar möglich, so das MIT in einer Mitteilung, scheint aber eher unwahrscheinlich.
Der dritte Fehler ist wie die beiden anderen sehr schwer auszunutzen. Bei dem ‘Double Free’-Fehler versucht ein Teil des Systems, Speicherplatz freizuschaufeln, der bereits leer ist. Sicherheitsunternehmen stufen die Fehler, obwohl noch kein Exploit-Code zu zirkulieren scheint, als gefährlich ein. Die Linux-Distributoren Gentoo und Red Hat haben bereits Patches bereit gestellt. Sun kann derzeit noch keinen Patch liefern, wartet aber mit einem Workaround für das Problem auf. Von Apple kommen derzeit noch keine Patches.
Kurz vor der Fußball-Europameisterschaft in Deutschland nehmen die Cyberbedrohungen für Sportfans zu, warnt Marco Eggerling…
Software für das Customer Relationship Management muss passgenau ausgewählt und im Praxistest an das einzelne…
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…