Bash-Patch für Mac OS X behebt nicht alle Schwachstellen

Apple hat einen Patch für die Sicherheitslücke in der Bourne-Again-Shell zum Download bereitgestellt. Nutzer von OS X 10.7 Lion, 10.8 Mountain Lion und 10.9 Mavericks können ihn installieren. Das Update behebt lediglich die Schwachstellen CVE-2014-6271 und CVE-2014-7169. Das haben Tests von ZDNet USA ergeben. Die Anfälligkeit CVE-2014-7186 besteht weiterhin.

Das Risiko dieses Bugs wird als “moderat” eingestuft. Seit Ende vergangener Woche ist ein Update für Linux und Unix verfügbar. Red Hat zufolge behebt es “alle CVE-Probleme” in Bash.

Ebenfalls vergangene Woche hatte Apple erklärt, die “überwiegende Mehrheit der OS-X-Nutzer” sei von den Sicherheitslücken in Bash nicht betroffen. Angreifer können sie ausnutzen, um Schadcode innerhalb der Kommandozeilen-Shell-Bash auszuführen. “Mit OS X sind die Systeme standardmäßig sicher und nicht für Remote Exploits von Bash anfällig, solange Nutzer keine erweiterten Unix-Dienste konfiguriert haben”, teilte der Konzern mit.

Der Patch verhindert darüber hinaus, dass über HTTP-Header unbeabsichtigt Funktionen weitergegeben werden. Das geht aus einer Sicherheitsmeldung hervor. Künftig müssen Umgebungsvariablen einen Präfix und einen Suffix aufweisen.

Apple verteilt das zwischen 3,3 und 3,5 MByte große OS X Bash Update 1.0 über die Softwareaktualisierung von OS X. Nutzer können es außerdem von Apples Website herunterladen.

Die neuseeländische IT-Sicherheitsfirma Aura Information Security hat währenddessen festgestellt, dass Kriminelle bereits nach Servern mit unsicheren Bash-Versionen scannen. FireEye warnt ebenfalls vor einer Angriffswelle auf die Shellshock-Lücke. “Bis jetzt haben Hacker Scanner eingerichtet, die nach anfälligen Maschinen suchen und Netzwerke seit Mittwoch mit Traffic bombardieren”, heißt es im FireEye-Blog. Ein Teil des verdächtigen Datenverkehrs komme aus Russland. Möglicherweise handele es sich um die Vorbereitung eines größeren Angriffs. “Wir glauben, es ist nur eine Frage der Zeit, bevor Hacker die Schwachstelle ausnutzen, um Nutzer auf gefährliche Hosts umzuleiten.”

In einer aktualisierten Sicherheitsmeldung warnt das UK CERT, dass deutlich mehr Systeme von Shellshock betroffen sein könnten als von dem im April entdeckten Heartbleed-Bug in OpenSSL. Ein Grund dafür ist, dass rund 500 Millionen Websites auf Apache-Webservern laufen, die wahrscheinlich Linux einsetzen und somit mit Sicherheit Bash installiert haben, wie der australische Sicherheitsforscher Troy Hunt anmerkt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

1 Tag ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

2 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

3 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

5 Tagen ago