Bash-Patch für Mac OS X behebt nicht alle Schwachstellen

Zwar behebt das OS X Bash Update 1.0 nicht sämtliche Lücken, schützt Nutzer aber vor Angriffen auf die beiden kritischen Schwachstellen. In der Bourne-Again-Shell steckt allerdings mindestens eine ungepatchte Lücke. Von dieser soll nur ein “moderates” Risiko ausgehen.

Apple hat einen Patch für die Sicherheitslücke in der Bourne-Again-Shell zum Download bereitgestellt. Nutzer von OS X 10.7 Lion, 10.8 Mountain Lion und 10.9 Mavericks können ihn installieren. Das Update behebt lediglich die Schwachstellen CVE-2014-6271 und CVE-2014-7169. Das haben Tests von ZDNet USA ergeben. Die Anfälligkeit CVE-2014-7186 besteht weiterhin.

Sicherheitsexperten haben den ersten Beispiel-Code für Shellshock, dem Bash-Leck entdeckt.

Das Risiko dieses Bugs wird als “moderat” eingestuft. Seit Ende vergangener Woche ist ein Update für Linux und Unix verfügbar. Red Hat zufolge behebt es “alle CVE-Probleme” in Bash.

Ebenfalls vergangene Woche hatte Apple erklärt, die “überwiegende Mehrheit der OS-X-Nutzer” sei von den Sicherheitslücken in Bash nicht betroffen. Angreifer können sie ausnutzen, um Schadcode innerhalb der Kommandozeilen-Shell-Bash auszuführen. “Mit OS X sind die Systeme standardmäßig sicher und nicht für Remote Exploits von Bash anfällig, solange Nutzer keine erweiterten Unix-Dienste konfiguriert haben”, teilte der Konzern mit.

Der Patch verhindert darüber hinaus, dass über HTTP-Header unbeabsichtigt Funktionen weitergegeben werden. Das geht aus einer Sicherheitsmeldung hervor. Künftig müssen Umgebungsvariablen einen Präfix und einen Suffix aufweisen.

Apple verteilt das zwischen 3,3 und 3,5 MByte große OS X Bash Update 1.0 über die Softwareaktualisierung von OS X. Nutzer können es außerdem von Apples Website herunterladen.

Die neuseeländische IT-Sicherheitsfirma Aura Information Security hat währenddessen festgestellt, dass Kriminelle bereits nach Servern mit unsicheren Bash-Versionen scannen. FireEye warnt ebenfalls vor einer Angriffswelle auf die Shellshock-Lücke. “Bis jetzt haben Hacker Scanner eingerichtet, die nach anfälligen Maschinen suchen und Netzwerke seit Mittwoch mit Traffic bombardieren”, heißt es im FireEye-Blog. Ein Teil des verdächtigen Datenverkehrs komme aus Russland. Möglicherweise handele es sich um die Vorbereitung eines größeren Angriffs. “Wir glauben, es ist nur eine Frage der Zeit, bevor Hacker die Schwachstelle ausnutzen, um Nutzer auf gefährliche Hosts umzuleiten.”

In einer aktualisierten Sicherheitsmeldung warnt das UK CERT, dass deutlich mehr Systeme von Shellshock betroffen sein könnten als von dem im April entdeckten Heartbleed-Bug in OpenSSL. Ein Grund dafür ist, dass rund 500 Millionen Websites auf Apache-Webservern laufen, die wahrscheinlich Linux einsetzen und somit mit Sicherheit Bash installiert haben, wie der australische Sicherheitsforscher Troy Hunt anmerkt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de