Apple veröffentlicht unvollständigen Bash-Patch für OS X

Apple hat einen Patch für die als Shellshock bezeichnete Lücke in der Bourne-Again-Shell veröffentlicht. Er steht für OS X 10.7 Lion, 10.8 Mountain Lion und 10.9 Mavericks zur Verfügung. Tests von ZDNet USA haben gezeigt, dass das Update nur die Schwachstellen CVE-2014-6271 und CVE-2014-7169 beseitigt, nicht aber die Anfälligkeit CVE-2014-7186.

Das Risiko des von Florian Weimer, Product Security Researcher bei Red Hat, entdeckten Bugs wird als „moderat“ eingestuft. Für Linux und Unix steht bereits seit Ende vergangener Woche ein Update zur Verfügung, das laut Red Hat „alle CVE-Probleme“ in Bash beseitigt.

Apple hatte schon in der vergangenen Woche erklärt, die „überwiegende Mehrheit der OS-X-Nutzer“ sei von den Anfälligkeiten in Bash nicht betroffen. Sie erlauben das Ausführen von Schadcode innerhalb der Kommandozeilen-Shell-Bash. „Mit OS X sind die Systeme standardmäßig sicher und nicht für Remote Exploits von Bash anfällig, solange Nutzer keine erweiterten Unix-Dienste konfiguriert haben“, teilte das Unternehmen mit.

Einer Sicherheitsmeldung zufolge soll der Patch auch verhindern, dass Funktionen unbeabsichtigt über HTTP-Header weitergegeben werden. Umgebungsvariablen benötigen künftig einen Präfix und einen Suffix.

Das zwischen 3,3 und 3,5 MByte große OS X Bash Update 1.0 verteilt Apple über die Softwareaktualisierung von OS X. Es kann auch von der Apple-Website heruntergeladen werden.

Eine neuseeländische IT-Sicherheitsfirma hat indes darauf hingewiesen, dass Hacker inzwischen gezielt nach Servern mit unsicheren Bash-Versionen suchen. Auch FireEye warnt vor einer Angriffswelle auf die Shellshock-Lücke. „Bis jetzt haben Hacker Scanner eingerichtet, die nach anfälligen Maschinen suchen und Netzwerke seit Mittwoch mit Traffic bombardieren“, heißt es im FireEye-Blog. Ein Teil des verdächtigen Datenverkehrs komme aus Russland. Möglicherweise handele es sich um die Vorbereitung eines größeren Angriffs. „Wir glauben, es ist nur eine Frage der Zeit, bevor Hacker die Schwachstelle ausnutzen, um Nutzer auf gefährliche Hosts umzuleiten.“

Das UK CERT warnt in einer aktualisierten Sicherheitsmeldung, dass Shellshock sogar noch deutlich mehr Systeme betreffen könnte als der im April entdeckte Heartbleed-Bug in OpenSSL, der Zugriff auf den flüchtigen Speicher eines Webservers ermöglichte. Ein Grund dafür ist, dass rund 500 Millionen Websites auf Apache-Webservern laufen, die wahrscheinlich Linux einsetzen und somit mit Sicherheit Bash installiert haben, wie der australische Sicherheitsforscher Troy Hunt anmerkt.

[mit Material von ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago