Bash-Patch für Mac OS X behebt nicht alle Schwachstellen

Apple hat einen Patch für die Sicherheitslücke in der Bourne-Again-Shell zum Download bereitgestellt. Nutzer von OS X 10.7 Lion, 10.8 Mountain Lion und 10.9 Mavericks können ihn installieren. Das Update behebt lediglich die Schwachstellen CVE-2014-6271 und CVE-2014-7169. Das haben Tests von ZDNet USA ergeben. Die Anfälligkeit CVE-2014-7186 besteht weiterhin.

Das Risiko dieses Bugs wird als “moderat” eingestuft. Seit Ende vergangener Woche ist ein Update für Linux und Unix verfügbar. Red Hat zufolge behebt es “alle CVE-Probleme” in Bash.

Ebenfalls vergangene Woche hatte Apple erklärt, die “überwiegende Mehrheit der OS-X-Nutzer” sei von den Sicherheitslücken in Bash nicht betroffen. Angreifer können sie ausnutzen, um Schadcode innerhalb der Kommandozeilen-Shell-Bash auszuführen. “Mit OS X sind die Systeme standardmäßig sicher und nicht für Remote Exploits von Bash anfällig, solange Nutzer keine erweiterten Unix-Dienste konfiguriert haben”, teilte der Konzern mit.

Der Patch verhindert darüber hinaus, dass über HTTP-Header unbeabsichtigt Funktionen weitergegeben werden. Das geht aus einer Sicherheitsmeldung hervor. Künftig müssen Umgebungsvariablen einen Präfix und einen Suffix aufweisen.

Apple verteilt das zwischen 3,3 und 3,5 MByte große OS X Bash Update 1.0 über die Softwareaktualisierung von OS X. Nutzer können es außerdem von Apples Website herunterladen.

Die neuseeländische IT-Sicherheitsfirma Aura Information Security hat währenddessen festgestellt, dass Kriminelle bereits nach Servern mit unsicheren Bash-Versionen scannen. FireEye warnt ebenfalls vor einer Angriffswelle auf die Shellshock-Lücke. “Bis jetzt haben Hacker Scanner eingerichtet, die nach anfälligen Maschinen suchen und Netzwerke seit Mittwoch mit Traffic bombardieren”, heißt es im FireEye-Blog. Ein Teil des verdächtigen Datenverkehrs komme aus Russland. Möglicherweise handele es sich um die Vorbereitung eines größeren Angriffs. “Wir glauben, es ist nur eine Frage der Zeit, bevor Hacker die Schwachstelle ausnutzen, um Nutzer auf gefährliche Hosts umzuleiten.”

In einer aktualisierten Sicherheitsmeldung warnt das UK CERT, dass deutlich mehr Systeme von Shellshock betroffen sein könnten als von dem im April entdeckten Heartbleed-Bug in OpenSSL. Ein Grund dafür ist, dass rund 500 Millionen Websites auf Apache-Webservern laufen, die wahrscheinlich Linux einsetzen und somit mit Sicherheit Bash installiert haben, wie der australische Sicherheitsforscher Troy Hunt anmerkt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

2 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

2 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

4 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

5 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

6 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

6 Tagen ago