Apple: Mehrheit der Mac-Nutzer ist von Bash-Lücke nicht betroffen

Apple hat hinsichtlich der kürzlich entdeckten Lücke in der Linux- und Unix-Shell Bash leichte Entwarnung gegeben. „Die überwiegende Mehrheit der OS-X-Nutzer sind von den jüngst gemeldeten Anfälligkeiten in Bash nicht betroffen“, erklärte das Unternehmen angeblich gegenüber iMore.

Die auch als „Shellshock“- oder „Bash“-Bug bekannte Schwachstelle erlaubt das Ausführen von Schadcode innerhalb der Kommandozeilen-Shell Bash. Diese ist Bestandteil zahlreicher Linux- und Unix-Betriebssysteme und somit auch von Mac OS X, das in Teilen auf BSD basiert. Dennoch müssen sich Apple zufolge die meisten Nutzer seiner Software keine Sorgen machen.

„Bash, eine in OS X enthaltene Unix-Kommandozeilen-Shell und -Sprache, weist eine Schwachstelle auf, durch die unautorisierte Benutzer aus der Ferne die Kontrolle über ein anfälliges System übernehmen können“, so Apple. „Mit OS X sind die Systeme standardmäßig sicher und nicht für Remote Exploits von Bash anfällig, solange Nutzer keine erweiterten Unix-Dienste konfiguriert haben. Wir arbeiten daran, schnell ein Software-Update für unsere fortgeschrittenen Unix-Anwender bereitzustellen.“

Derweil machen erste Exploits für die Bash-Lücke im Netz die Runde. So hat Malwaremustdie.org beispielsweise eine darauf abzielende Schadsoftware analysiert, die gleich über mehrere Funktionen verfügt. Sie ermöglicht Denial-of-Service-Angriffe und ist in der Lage, Passwörter für betroffene Server zu erraten. Dafür nutzt sie eine Liste mit schwachen Kennwörtern wie „root“, „admin“ oder „123456“.

Das UK CERT warnt in einer aktualisierten Sicherheitsmeldung, dass Shellshock sogar noch deutlich mehr Systeme betreffen könnte als der im April entdeckte Heartbleed-Bug in OpenSSL, der Zugriff auf den flüchtigen Speicher eines Webservers ermöglichte. Ein Grund dafür ist, dass rund 500 Millionen Websites auf Apache-Webservern laufen, die wahrscheinlich Linux einsetzen und somit mit Sicherheit Bash installiert haben, wie der australische Sicherheitsforscher Troy Hunt anmerkt.

Kaspersky teilte mit, dass die Bash-Lücke „bereits in böswilliger Absicht ausgenutzt wurde“, etwa bei Hackerangriffen oder um anfällige Webserver mit Malware zu infizieren. „Es ist wichtig zu verstehen, dass die Schwachstelle nicht in Zusammenhang mit einem bestimmten Service steht, beispielsweise Apache oder nginx. Stattdessen liegt die Anfälligkeit im Bash-Shell-Interpreter begründet und erlaubt einem Angreifer, den Bash-Umgebungsvariablen Systemebene-Befehle hinzuzufügen.“

Wie Malwaremustdie in seinem Blog schreibt, habe der „Spaß“ gerade erst begonnen. Das heißt mit anderen Worten, dass noch viele andere Malware-Arten zu erwarten sind, die den Shellshock-Bug ausnutzen.

[mit Material von Luke Westaway, News.com, und Liam Tung, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de