Drei Schwachstellen in seiner »IOS«-Software hat Cisco Systems ausgemerzt. Auch Apple war an der Patch-Front aktiv: Der Hersteller schloss eine Lücke in »Quicktime 7«.

Zunächst zu Apple: Das Sicherheitsloch ist in Version 7.1.3 von Quicktime enthalten. Betroffen sind die Versionen für Mac OS X (10.4 und 10.3) und Windows.

Die Schwachstelle in Quicktime betrifft das Parsing des »Real Time Streaming Protocol« (RTSP). Sie erlaubt es einem Hacker, sich Zugang zum Rechner eines Users zu verschaffen.

Er muss diesen dazu zum Besuch einer speziell präparierten Web-Seite »animieren«.

Lücken in IOS

Die gefährlichste Lücke, die Cisco bei »IOS« geschlossen hat, betrifft alle Ausgabe der IOS- und IOS-XR-Software. Verwundbar sind Systeme, die IPv4 verwenden. Geräte, die für Datentransfers Version 6 des Internet-Protokolls nutzen, sind dagegen sicher.

Die Schwachstelle lässt sich mithilfe eines speziellen IP-Pakets ausnutzen, das der Angreifer direkt zu einem Router oder Switch schickt. Das System lässt sich damit zum Absturz bringen. Außerdem könnte es dem Angreifer gelingen, eigenen Programmcode auf dem Router auszuführen.

Als Plattform für solche Attacken lassen sich ICMP-Pakete (Internet Control Message Protocol), PGM-Daten (Pragmatic General Multicast) oder URD-Pakete (URL Rendezvous Directory) verwenden. Außerdem eignen sich PIMv2-Informationen (Protocol Independent Multicast Version 2).

Cisco rät allen Anwendern dringend, die entsprechenden Patches einzuspielen.

Patches von Apple

Advisory von Cisco zu IOS-Schwachstelle

Cisco-Advisory zu IOS-Sicherheitslücke auf IPv6-Systemen