Apple veröffentlicht unvollständigen Bash-Patch für OS X

Apple hat einen Patch für die als Shellshock bezeichnete Lücke in der Bourne-Again-Shell veröffentlicht. Er steht für OS X 10.7 Lion, 10.8 Mountain Lion und 10.9 Mavericks zur Verfügung. Tests von ZDNet USA haben gezeigt, dass das Update nur die Schwachstellen CVE-2014-6271 und CVE-2014-7169 beseitigt, nicht aber die Anfälligkeit CVE-2014-7186.

Das Risiko des von Florian Weimer, Product Security Researcher bei Red Hat, entdeckten Bugs wird als „moderat“ eingestuft. Für Linux und Unix steht bereits seit Ende vergangener Woche ein Update zur Verfügung, das laut Red Hat „alle CVE-Probleme“ in Bash beseitigt.

Apple hatte schon in der vergangenen Woche erklärt, die „überwiegende Mehrheit der OS-X-Nutzer“ sei von den Anfälligkeiten in Bash nicht betroffen. Sie erlauben das Ausführen von Schadcode innerhalb der Kommandozeilen-Shell-Bash. „Mit OS X sind die Systeme standardmäßig sicher und nicht für Remote Exploits von Bash anfällig, solange Nutzer keine erweiterten Unix-Dienste konfiguriert haben“, teilte das Unternehmen mit.

Einer Sicherheitsmeldung zufolge soll der Patch auch verhindern, dass Funktionen unbeabsichtigt über HTTP-Header weitergegeben werden. Umgebungsvariablen benötigen künftig einen Präfix und einen Suffix.

Das zwischen 3,3 und 3,5 MByte große OS X Bash Update 1.0 verteilt Apple über die Softwareaktualisierung von OS X. Es kann auch von der Apple-Website heruntergeladen werden.

Eine neuseeländische IT-Sicherheitsfirma hat indes darauf hingewiesen, dass Hacker inzwischen gezielt nach Servern mit unsicheren Bash-Versionen suchen. Auch FireEye warnt vor einer Angriffswelle auf die Shellshock-Lücke. „Bis jetzt haben Hacker Scanner eingerichtet, die nach anfälligen Maschinen suchen und Netzwerke seit Mittwoch mit Traffic bombardieren“, heißt es im FireEye-Blog. Ein Teil des verdächtigen Datenverkehrs komme aus Russland. Möglicherweise handele es sich um die Vorbereitung eines größeren Angriffs. „Wir glauben, es ist nur eine Frage der Zeit, bevor Hacker die Schwachstelle ausnutzen, um Nutzer auf gefährliche Hosts umzuleiten.“

Das UK CERT warnt in einer aktualisierten Sicherheitsmeldung, dass Shellshock sogar noch deutlich mehr Systeme betreffen könnte als der im April entdeckte Heartbleed-Bug in OpenSSL, der Zugriff auf den flüchtigen Speicher eines Webservers ermöglichte. Ein Grund dafür ist, dass rund 500 Millionen Websites auf Apache-Webservern laufen, die wahrscheinlich Linux einsetzen und somit mit Sicherheit Bash installiert haben, wie der australische Sicherheitsforscher Troy Hunt anmerkt.

[mit Material von ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de