Apple veröffentlicht unvollständigen Bash-Patch für OS X

Apple hat einen Patch für die als Shellshock bezeichnete Lücke in der Bourne-Again-Shell veröffentlicht. Er steht für OS X 10.7 Lion, 10.8 Mountain Lion und 10.9 Mavericks zur Verfügung. Tests von ZDNet USA haben gezeigt, dass das Update nur die Schwachstellen CVE-2014-6271 und CVE-2014-7169 beseitigt, nicht aber die Anfälligkeit CVE-2014-7186.

Das Risiko des von Florian Weimer, Product Security Researcher bei Red Hat, entdeckten Bugs wird als „moderat“ eingestuft. Für Linux und Unix steht bereits seit Ende vergangener Woche ein Update zur Verfügung, das laut Red Hat „alle CVE-Probleme“ in Bash beseitigt.

Apple hatte schon in der vergangenen Woche erklärt, die „überwiegende Mehrheit der OS-X-Nutzer“ sei von den Anfälligkeiten in Bash nicht betroffen. Sie erlauben das Ausführen von Schadcode innerhalb der Kommandozeilen-Shell-Bash. „Mit OS X sind die Systeme standardmäßig sicher und nicht für Remote Exploits von Bash anfällig, solange Nutzer keine erweiterten Unix-Dienste konfiguriert haben“, teilte das Unternehmen mit.

Einer Sicherheitsmeldung zufolge soll der Patch auch verhindern, dass Funktionen unbeabsichtigt über HTTP-Header weitergegeben werden. Umgebungsvariablen benötigen künftig einen Präfix und einen Suffix.

Das zwischen 3,3 und 3,5 MByte große OS X Bash Update 1.0 verteilt Apple über die Softwareaktualisierung von OS X. Es kann auch von der Apple-Website heruntergeladen werden.

Eine neuseeländische IT-Sicherheitsfirma hat indes darauf hingewiesen, dass Hacker inzwischen gezielt nach Servern mit unsicheren Bash-Versionen suchen. Auch FireEye warnt vor einer Angriffswelle auf die Shellshock-Lücke. „Bis jetzt haben Hacker Scanner eingerichtet, die nach anfälligen Maschinen suchen und Netzwerke seit Mittwoch mit Traffic bombardieren“, heißt es im FireEye-Blog. Ein Teil des verdächtigen Datenverkehrs komme aus Russland. Möglicherweise handele es sich um die Vorbereitung eines größeren Angriffs. „Wir glauben, es ist nur eine Frage der Zeit, bevor Hacker die Schwachstelle ausnutzen, um Nutzer auf gefährliche Hosts umzuleiten.“

Das UK CERT warnt in einer aktualisierten Sicherheitsmeldung, dass Shellshock sogar noch deutlich mehr Systeme betreffen könnte als der im April entdeckte Heartbleed-Bug in OpenSSL, der Zugriff auf den flüchtigen Speicher eines Webservers ermöglichte. Ein Grund dafür ist, dass rund 500 Millionen Websites auf Apache-Webservern laufen, die wahrscheinlich Linux einsetzen und somit mit Sicherheit Bash installiert haben, wie der australische Sicherheitsforscher Troy Hunt anmerkt.

[mit Material von ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

14 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

18 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

19 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

19 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

20 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

22 Stunden ago