63680

Microsoft-Patch kollidiert mit ZoneAlarm

09.07.2008 | 13:08 Uhr |

Nach der Installation der neuesten Sicherheits-Updates von Microsoft bekommen Nutzer der Firewall-Software ZoneAlarm plötzlich keine Verbindung ins Internet mehr.

In den Support-Foren von Checkpoint, Hersteller der Personal Firewall ZoneAlarm, häufen sich die Anfragen und Beschwerden von Anwendern, die brav die neusten Windows-Updates eingespielt haben. Microsoft hat am gestrigen Patch Day unter anderen ein Sicherheits-Update gegen eine Spoofing-Lücke im DNS-Client von Windows XP und 2000 bereit gestellt (Security Bulletin MS08-037). Dieses kollidiert jedoch offenbar mit einer Schutzfunktion in Zonealarm. Die Firewall blockiert deshalb die Internet-Verbindung.

Zur Wiederherstellung der Internet-Verbindung haben betroffene Anwender die Wahl zwischen zwei suboptimalen Lösungen. Sie können entweder das Sicherheits-Update KB951748 wieder deinstallieren oder die Sicherheitsstufe in ZoneAlarm von maximalem Schutz auf medium herab setzen. Dann klappt es auch wieder mit dem Internet.

Das gerade installierte Sicherheits-Update wieder zu entfernen scheint wenig ratsam, da es eine erhebliche Sicherheitslücke stopft. Durch einen Fehler, der eigentlich ein grundlegendes Problem des DNS-Systems darstellt und kein Bug in Windows, können Angreifer zum Beispiel Zugriffe auf Web-Server auf beliebige andere Server umlenken, ohne dass der Anwender dies bemerkt. Damit sind Phishing-Attacken Tür und Tor geöffnet. Die Verringerung der Sicherheitsstufe in ZoneAlarm erscheint da als das kleinere Übel, bis es ein Update für ZoneAlarm gibt.

Das Problem mit ZoneAlarm rührt daher, dass mit der Änderung am DNS-Client von Windows nun andere UDP-Ports für DNS-Anfragen an den Name-Server des Providers benutzt werden. ZoneAlarm ist auf dieses veränderte Verhalten von Windows nicht vorbereitet und blockiert diese Ports, wenn die maximale Schutzstufe eingestellt ist. Ob andere Personal Firewalls ähnliche Probleme bereiten, ist derzeit noch nicht bekannt.

Name-Server sind praktisch die Telefonbücher des Internets. Sie liefern zur Klartextadresse eines Web-Servers (etwa www.pcwelt.de) die passende IP-Adresse (zum Beispiel 217.111.81.80). Nur so kann eine Website vom Browser abgerufen werden. Das DNS-System wurde in der Frühzeit des Internets entwickelt und ist nicht unter Sicherheitsaspekten entworfen worden.

Kürzlich ist bekannt geworden, dass der Sicherheitsforscher Dan Kaminsky eine Methode entwickelt hat, wie die bislang benutzten Vorkehrungen gegen das so genannte DNS-Spoofing leicht umgangen werden können. Er will seine Erkenntnisse auf der Sicherheitskonferenz Black Hat im August vorstellen, hat jedoch die Hersteller von Name-Server-Software und auch Microsoft bereits vorab informiert.

0 Kommentare zu diesem Artikel
63680