Gefährliche Bash-Sicherheitslücke betrifft auch OS X (Update)

25. Sep 2014 13:30 Uhr - sw

In der Unix-Shell Bash wurde eine als gefährlich eingestufte Sicherheitslücke entdeckt, die Angreifern das Einschleusen und Ausführen von Schadcode aus der Ferne auf Servern ermöglicht. Neben Linux- und Unix-Betriebssystemen ist auch OS X betroffen, da das Terminal standardmäßig mit der Open-Source-Software Bash läuft.

Der vom Entwickler Stephane Chazelas entdeckte Fehler, "Shellshock" genannt, erlaubt das ungeprüfte Ausführen von beliebigem Code mittels Umgebungsvariablen. Angriffe sind beispielsweise auf Web-Server denkbar, auf denen Bash-basierte CGI-Skripte zum Einsatz kommen. Die Schwachstelle existiert bereits seit vielen Jahren und wurde erst jetzt entdeckt. Auf dem Mac sind neben OS X 10.8.5 und OS X 10.9.5 auch die Betaversionen von OS X 10.10 betroffen.

Das Bash-Projekt hat die Sicherheitslücke inzwischen behoben, die Anbieter von Linux- und Unix-Betriebssystemen sind dabei, die Fehlerkorrektur einzupflegen. Es ist anzunehmen, dass auch Apple bald ein entsprechendes Sicherheitsupdate herausgeben wird. Betreiber eines Mac-basierten Servers, die schon jetzt auf Nummer sicher gehen wollen, können manuell eine neue Bash-Version installieren – die Prozedur ist allerdings nur Profis, die mit Xcode und Terminal vertraut sind, zu empfehlen.

Nachtrag (26. September): Apple will laut einem Bericht von iMore in Kürze ein Update veröffentlichen, das die Sicherheitslücke behebt. Nach Angaben von Apple sind Macs nur dann angreifbar, wenn Anwender "fortgeschrittene Unix-Dienste konfiguriert haben".

Kommentare

Ein normaler Anwender könnte jetzt - berechtigt - fragen "Und was kann mir passieren?". Die Antwort ist recht simpel: Man könnte in einem Installationsskript die erwähnte Sicherheitslücke ausnutzen und Vorgänge auslösen, für die sonst Administratorrechte nötig sind. Also z.B. Schadsoftware installieren oder kritische Dateien löschen/ändern. Wenn man allerdings den Rat befolgt, Software nur aus vertrauenswürdigen Quellen - also von namentlich bekannten Entwicklern z.B. - zu installieren, dann dürfte sich solch ein Risiko ausschliessen lassen. Mit anderen Worten: Wie immer Köpfchen einschalten beim Installieren von neuen Programmen.

Ich erlaube mir den Kommentar, weil ich schon wieder des öfteren sehe, dass in der Presse mit dem Finger verachtend auf Apple und deren "ahnungslose" User gezeigt wird, während diese Sicherheitslücke ALLE Linux-Systeme betrifft und in meinen Augen für den normalen Anwender nicht zwangsweise plötzlich ein besonderes Risiko birgt. Da schätze ich die sachliche Info auf MacGadget schon sehr.

Soweit ich weiß, wird an einem Sicherheitsupdate für Linux-bash (4.x.x) bereits gearbeitet, während Apple ein total veraltetes bash (3.2.x) einsetzt, das wohl kaum ein Sicherheitsupdate erhalten wird, es sei denn, Apple erbarmt sich. Da es sich ums Basis-Unix-Funktionalitäten handelt, scheint mir das fraglich.

Linux ist derzeit wohl besser dran.