Der aktuellste Eintrag auf der Projektseite beschreibt, dass Apples iChat AV mehrere Schwachstellen aufzeigt, wenn es in lokalen Netzen via Bonjour benutzt wird. Dies sei zwar kein "echtes" Sicherheitsproblem, aber eine störende Fehlfunktion, die am ernsthaften Kommunizieren hindern kann. Eigentliche Ursache seien Lücken in Bonjour.
Die erste Schwachstelle äußert sich so: Ein "boshaftes" Programm kündigt sich als iChat-Benutzer immer und immer wieder im lokalen Netzwerk an und erreicht damit, dass via iChat im lokalen Netz nicht mehr uneingeschränkt kommuniziert werden kann. Denn: Das Erkennen neuer Teilnehmer wird so wirkungsvoll unterdrückt.
Die zweite Unzulänglichkeit, die alle iChat-Teilnehmer in Bonjour in eine Absturzschleife bringt, besteht in einer bestimmten Zeichenkette, die ein Teilnehmer in das Netz sendet. Der Prozess iChat Agent ist in diesem Fall betroffen, jeder erneute Start ist zum Scheitern verurteilt, da mDNSResponder diese manipulierte Nachricht wieder aufrufen will. Erst ein Neustart des Macs löst dieses Problem.
Die eigentliche Ursache der Probleme liege nicht in iChat selbst, so die MoAB-Initiatoren, sondern in Apples Umsetzung des Zeroconf-Protokolls, das in Mac OS X 10.4 den Namen "Bonjour" trägt und davor "Rendezvous" hieß. Hierzu wollen die MoAB-Macher in Kürze weitere Informationen vorlegen. (Macwelt/ wl)
30.01.2007
Von Ole Meiners
Der Monat der Apple-Bugs (MoAB) neigt sich dem Ende zu, Kevin Finisterre und Hacker LMH bringen jetzt ihre "Sahnestücke" auf den Weg.