Bash-Patch für Mac OS X behebt nicht alle Schwachstellen

Apple hat einen Patch für die Sicherheitslücke in der Bourne-Again-Shell zum Download bereitgestellt. Nutzer von OS X 10.7 Lion, 10.8 Mountain Lion und 10.9 Mavericks können ihn installieren. Das Update behebt lediglich die Schwachstellen CVE-2014-6271 und CVE-2014-7169. Das haben Tests von ZDNet USA ergeben. Die Anfälligkeit CVE-2014-7186 besteht weiterhin.

Das Risiko dieses Bugs wird als “moderat” eingestuft. Seit Ende vergangener Woche ist ein Update für Linux und Unix verfügbar. Red Hat zufolge behebt es “alle CVE-Probleme” in Bash.

Ebenfalls vergangene Woche hatte Apple erklärt, die “überwiegende Mehrheit der OS-X-Nutzer” sei von den Sicherheitslücken in Bash nicht betroffen. Angreifer können sie ausnutzen, um Schadcode innerhalb der Kommandozeilen-Shell-Bash auszuführen. “Mit OS X sind die Systeme standardmäßig sicher und nicht für Remote Exploits von Bash anfällig, solange Nutzer keine erweiterten Unix-Dienste konfiguriert haben”, teilte der Konzern mit.

Der Patch verhindert darüber hinaus, dass über HTTP-Header unbeabsichtigt Funktionen weitergegeben werden. Das geht aus einer Sicherheitsmeldung hervor. Künftig müssen Umgebungsvariablen einen Präfix und einen Suffix aufweisen.

Apple verteilt das zwischen 3,3 und 3,5 MByte große OS X Bash Update 1.0 über die Softwareaktualisierung von OS X. Nutzer können es außerdem von Apples Website herunterladen.

Die neuseeländische IT-Sicherheitsfirma Aura Information Security hat währenddessen festgestellt, dass Kriminelle bereits nach Servern mit unsicheren Bash-Versionen scannen. FireEye warnt ebenfalls vor einer Angriffswelle auf die Shellshock-Lücke. “Bis jetzt haben Hacker Scanner eingerichtet, die nach anfälligen Maschinen suchen und Netzwerke seit Mittwoch mit Traffic bombardieren”, heißt es im FireEye-Blog. Ein Teil des verdächtigen Datenverkehrs komme aus Russland. Möglicherweise handele es sich um die Vorbereitung eines größeren Angriffs. “Wir glauben, es ist nur eine Frage der Zeit, bevor Hacker die Schwachstelle ausnutzen, um Nutzer auf gefährliche Hosts umzuleiten.”

In einer aktualisierten Sicherheitsmeldung warnt das UK CERT, dass deutlich mehr Systeme von Shellshock betroffen sein könnten als von dem im April entdeckten Heartbleed-Bug in OpenSSL. Ein Grund dafür ist, dass rund 500 Millionen Websites auf Apache-Webservern laufen, die wahrscheinlich Linux einsetzen und somit mit Sicherheit Bash installiert haben, wie der australische Sicherheitsforscher Troy Hunt anmerkt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

1 Tag ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

1 Tag ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

2 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

2 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

2 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

3 Tagen ago