Bash-Bug Apple stopft Sicherheitslücke in OS X

Apple hat ein Update veröffentlicht, das die "Shellshock" genannte Sicherheitslücke in OS X verschließt. Gerade noch rechtzeitig, denn Kriminelle versuchen bereits, die Schwachstelle im großen Stil auszunutzen.

Apple-Update: "Die Bash-Lücke ist eine weltweite Einladung an alle Hacker"

Apple-Update: "Die Bash-Lücke ist eine weltweite Einladung an alle Hacker"


Ist der sogenannte "Bash"-Bug, auch "Shellshock" genannt, wirklich schlimmer als der Heartbleed-Bug von April 2014, wie es ein Sicherheitsexperte letzte Woche einschätzte?

Das sicher nicht, denn der Fehler (offizielle Bezeichnung CVE-2014-6271) betrifft nur Maschinen, die als Server aus dem Internet ansprechbar sind - und damit nur wenige Nutzer von Apple-Computern. Trotzdem hat Apple in diesem Fall schnell reagiert und heute ein Sicherheits-Update veröffentlicht: das "OS X bash update 1.0" steht für die OS X-Versionen 10.7 (Lion), 10.8 (Mountain Lion), 10.9 (Mavericks) sowie Lion-Server bereit.

Shellshock als "Virus" zu bezeichnen wäre falsch. Unterschätzen sollte man die Schwachstelle dennoch nicht: Der Fehler ermöglicht Angreifern das Einschleusen und Ausführen von Schadcode über die sogenannte Kommandozeilen-Shell "bash", die schon seit 1989 Teil von Unix-Systemen (und dazu gehört auch Mac OS X) ist.

Wer Zugriff auf sie hat, kann Daten absaugen, löschen, verschieben, Dienste an- und ausschalten - er kann sich also Fernzugriff auf einen Rechner verschaffen. "Kurz gesagt: die bash-Lücke ist eine weltweite Einladung an alle Hacker, mit den betroffenen Rechnern wilde Dinge anzustellen", fasst der deutsche Sicherheitsspezialist Thomas Kemmer in seinem Apple-Blog zusammen.

Die Angriffsversuche haben längst begonnen: Nach Beobachtungen der Sicherheitsfirma FireEye sind seit letzter Woche Zigtausende Server regelrecht mit Attacken bombardiert worden. Ein erster Patch für Linux-Rechner erwies sich als unzureichend, eine neue Lücke (CVE-2014-7169) wurde identifiziert.

Seitdem bringen Hersteller weitere Updates. "Da die einfache Lücke so bequem auszunutzen und eine so große Nutzergruppe vorhanden ist, wird uns das Problem eher Monate als Wochen beschäftigen", prophezeit die britische Technik-Webseite "The Register". Apples Patch kommt also gerade rechtzeitig.

Ob Ihr Apple-Rechner von der Sicherheitslücke überhaupt betroffen ist, können Sie überprüfen, indem Sie in das Dienstprogramm "Terminal" diese Codezeile eingeben:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Gibt das Programm die Meldung "bash: error importing function definition for x" aus, ist alles okay. Antwortet Terminal "vulnerable", ist ihr Gerät von der Shellshock-Schwachstelle betroffen. Download und Installation des Apple-Patches stellen allerdings keine nennenswerte Hürde dar: Die Datei ist je nach Betriebssystemversion nur 3,3 bis 3,5 Megabyte groß, das Update schnell erledigt - wenn es denn bei uns angekommen ist.

abr



insgesamt 4 Beiträge
Alle Kommentare öffnen
Seite 1
dunkelpeter 30.09.2014
1. welche Lücke?
Wer seinen Mac als Web-Server öffentlich im Internet zugänglich macht und dazu CGI (ein Standard, der seit vielen Jahren veraltet ist) nutzt, ohne hier die Interaktionen zu prüfen, der hat nun eine Lücke geschlossen. CGI war schon immer ein Sicherheitsrisiko, genauso wie SQL-Befehle über Benutzereingabe ungeprüft aufzubauen.
Konstruktor 30.09.2014
2.
Zitat von dunkelpeterWer seinen Mac als Web-Server öffentlich im Internet zugänglich macht und dazu CGI (ein Standard, der seit vielen Jahren veraltet ist) nutzt, ohne hier die Interaktionen zu prüfen, der hat nun eine Lücke geschlossen. CGI war schon immer ein Sicherheitsrisiko, genauso wie SQL-Befehle über Benutzereingabe ungeprüft aufzubauen.
Und deshalb ist der Artikel eine extreme Verzerrung der Prioritäten, denn die Lücke betrifft primär Linux- und sonstige Unix-Server im Internet und nur sehr wenige Macs. Der Artikel stellt das so dar, als wären alle Macs ganz schlimm betroffen und das wäre überhaupt das Hauptproblem, was aber völliger Blödsinn ist. Wer seinen Mac nicht als Server benutzt und "Remote Login" im Sharing-Kontrollfeld ausgeschaltet hat, ist in der Regel nicht betroffen und kann getrost das nächste reguläre Update abwarten. Wer seinen Mac speziell als Server konfiguriert hat und dabei die Bash von außen ansprechbar gemacht hat (direkt als Login-Shell oder über andere Dienste wie CGI), für den ist das Vorab-Update aber durchaus sinnvoll. Nur sind das eher wenige.
sikasuu 30.09.2014
3. Bash-Bug und OSX?
Es ist vollkommen uninterressant ob OSX davon betroffen ist. Die Bash hattte einen HAU!. . Spannend ist es aber, das Tage nach dem auf UNIX-Systemen die Fixe schon raus waren, Apple jetzt auch reagiert. . Lücken kommen in lannen Programmen vor, (MS$ lässt da grüssen:-)), aber die Bash-Lücke ist nun wirklich nicht die Welt. . WER hat auf wichtigen Srevern wohl einen Shellaccount? Der "Hacker" muss da erst einmal reinkommen und es kostet 10 Minuten "scripten" und ein paar Sekunden Laufzeit, für den Übergang die Bash durch die tcsh zu ersetzen:-)) wenn man die nicht einfach umbenennt, einen symlink baut, um die orginal-bash bis zum Ptach zu fixen. . Süss sind aber die Reaktionen von überzegten Mac'ies. . "Betrifft ja hauptsächlich die "unsicheren" Linux, UNIX Systeme!" Hallo, OSX basiert auf dem FreeBSD 4.7 und einem Machkernel:-)) alles nur (erlaubt) geliehen:-))
MacKernobst 30.09.2014
4. Wer lesen kann ...
Zitat von KonstruktorUnd deshalb ist der Artikel eine extreme Verzerrung der Prioritäten, denn die Lücke betrifft primär Linux- und sonstige Unix-Server im Internet und nur sehr wenige Macs. Der Artikel stellt das so dar, als wären alle Macs ganz schlimm betroffen und das wäre überhaupt das Hauptproblem, was aber völliger Blödsinn ist. Wer seinen Mac nicht als Server benutzt und "Remote Login" im Sharing-Kontrollfeld ausgeschaltet hat, ist in der Regel nicht betroffen und kann getrost das nächste reguläre Update abwarten. Wer seinen Mac speziell als Server konfiguriert hat und dabei die Bash von außen ansprechbar gemacht hat (direkt als Login-Shell oder über andere Dienste wie CGI), für den ist das Vorab-Update aber durchaus sinnvoll. Nur sind das eher wenige.
Zitat aus dem Artikel: "Das sicher nicht, denn der Fehler (offizielle Bezeichnung CVE-2014-6271) betrifft nur Maschinen, die als Server aus dem Internet ansprechbar sind - und damit nur wenige Nutzer von Apple-Computern. Trotzdem hat Apple in diesem Fall schnell reagiert und heute ein Sicherheits-Update veröffentlicht: ......"
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.