Apple hat einen Patch für die als Shellshock bezeichnete Lücke in der Bourne-Again-Shell veröffentlicht. Er steht für OS X 10.7 Lion, 10.8 Mountain Lion und 10.9 Mavericks zur Verfügung. Tests von ZDNet USA haben gezeigt, dass das Update nur die Schwachstellen CVE-2014-6271 und CVE-2014-7169 beseitigt, nicht aber die Anfälligkeit CVE-2014-7186.
Das Risiko des von Florian Weimer, Product Security Researcher bei Red Hat, entdeckten Bugs wird als „moderat“ eingestuft. Für Linux und Unix steht bereits seit Ende vergangener Woche ein Update zur Verfügung, das laut Red Hat „alle CVE-Probleme“ in Bash beseitigt.
Apple hatte schon in der vergangenen Woche erklärt, die „überwiegende Mehrheit der OS-X-Nutzer“ sei von den Anfälligkeiten in Bash nicht betroffen. Sie erlauben das Ausführen von Schadcode innerhalb der Kommandozeilen-Shell-Bash. „Mit OS X sind die Systeme standardmäßig sicher und nicht für Remote Exploits von Bash anfällig, solange Nutzer keine erweiterten Unix-Dienste konfiguriert haben“, teilte das Unternehmen mit.
Einer Sicherheitsmeldung zufolge soll der Patch auch verhindern, dass Funktionen unbeabsichtigt über HTTP-Header weitergegeben werden. Umgebungsvariablen benötigen künftig einen Präfix und einen Suffix.
Das zwischen 3,3 und 3,5 MByte große OS X Bash Update 1.0 verteilt Apple über die Softwareaktualisierung von OS X. Es kann auch von der Apple-Website heruntergeladen werden.
Eine neuseeländische IT-Sicherheitsfirma hat indes darauf hingewiesen, dass Hacker inzwischen gezielt nach Servern mit unsicheren Bash-Versionen suchen. Auch FireEye warnt vor einer Angriffswelle auf die Shellshock-Lücke. „Bis jetzt haben Hacker Scanner eingerichtet, die nach anfälligen Maschinen suchen und Netzwerke seit Mittwoch mit Traffic bombardieren“, heißt es im FireEye-Blog. Ein Teil des verdächtigen Datenverkehrs komme aus Russland. Möglicherweise handele es sich um die Vorbereitung eines größeren Angriffs. „Wir glauben, es ist nur eine Frage der Zeit, bevor Hacker die Schwachstelle ausnutzen, um Nutzer auf gefährliche Hosts umzuleiten.“
Das UK CERT warnt in einer aktualisierten Sicherheitsmeldung, dass Shellshock sogar noch deutlich mehr Systeme betreffen könnte als der im April entdeckte Heartbleed-Bug in OpenSSL, der Zugriff auf den flüchtigen Speicher eines Webservers ermöglichte. Ein Grund dafür ist, dass rund 500 Millionen Websites auf Apache-Webservern laufen, die wahrscheinlich Linux einsetzen und somit mit Sicherheit Bash installiert haben, wie der australische Sicherheitsforscher Troy Hunt anmerkt.
[mit Material von ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…