Gefährliche Bash-Sicherheitslücke betrifft auch OS X (Update)

25. Sep 2014 13:30 Uhr - sw

In der Unix-Shell Bash wurde eine als gefährlich eingestufte Sicherheitslücke entdeckt, die Angreifern das Einschleusen und Ausführen von Schadcode aus der Ferne auf Servern ermöglicht. Neben Linux- und Unix-Betriebssystemen ist auch OS X betroffen, da das Terminal standardmäßig mit der Open-Source-Software Bash läuft.

Der vom Entwickler Stephane Chazelas entdeckte Fehler, "Shellshock" genannt, erlaubt das ungeprüfte Ausführen von beliebigem Code mittels Umgebungsvariablen. Angriffe sind beispielsweise auf Web-Server denkbar, auf denen Bash-basierte CGI-Skripte zum Einsatz kommen. Die Schwachstelle existiert bereits seit vielen Jahren und wurde erst jetzt entdeckt. Auf dem Mac sind neben OS X 10.8.5 und OS X 10.9.5 auch die Betaversionen von OS X 10.10 betroffen.

Das Bash-Projekt hat die Sicherheitslücke inzwischen behoben, die Anbieter von Linux- und Unix-Betriebssystemen sind dabei, die Fehlerkorrektur einzupflegen. Es ist anzunehmen, dass auch Apple bald ein entsprechendes Sicherheitsupdate herausgeben wird. Betreiber eines Mac-basierten Servers, die schon jetzt auf Nummer sicher gehen wollen, können manuell eine neue Bash-Version installieren – die Prozedur ist allerdings nur Profis, die mit Xcode und Terminal vertraut sind, zu empfehlen.

Nachtrag (26. September): Apple will laut einem Bericht von iMore in Kürze ein Update veröffentlichen, das die Sicherheitslücke behebt. Nach Angaben von Apple sind Macs nur dann angreifbar, wenn Anwender "fortgeschrittene Unix-Dienste konfiguriert haben".