zurück zum Artikel

ShellShock-Bug: Apple will OS X "bald" abdichten

Ben Schwan

Von der schweren Bash-Lücke, um die sich unter Linux bereits gekümmert wird, sind auch Mac-OS-X-Nutzer betroffen. Apple sieht aber wenig Angriffsfläche.

Zwar enthält ein am Mittwoch ausgelieferter Linux-Patch für den problematischen ShellShock-Fehler [1] augenscheinlich noch weitere Lücken [2], doch die Community beschäftigt sich intensiv mit dem Problem. Von Apple, dessen Mac OS X ebenfalls betroffen ist, war dagegen bislang nichts zu hören. Nun hat die Firma aber eine erste Stellungnahme zu der Problematik abgegeben, die manche Beobachter für schlimmer als die Heartbleed [3]-Lücke halten.

Gegenüber dem Fachdienst iMore sagte [4] ein Apple-Sprecher am späten Donnerstagabend mitteleuropäischer Zeit, bei der Firma werde momentan daran gearbeitet, "schnell ein Software-Update" auszuliefern. Ein Termin wurde aber nicht kommuniziert.

Auszug aus dem Metasploit-Modul, das ShellShock zum Ausführen von Schadcode unter OS X nutzt.

Auszug aus dem Metasploit-Modul, das ShellShock zum Ausführen von Schadcode unter OS X nutzt.

Allerdings sieht das Unternehmen in ShellShock, mit dessen Hilfe Shell-Kommandos auf betroffenen Systemen von Unbefugten auch aus der Ferne ausgeführt werden können, offenbar kein großes Problem. Die "große Mehrzahl" der OS-X-User sei nicht betroffen, weil es keine aus der Ferne nutzbaren Dienste gibt, die standardmäßig aktiviert seien. Nur wenn "Unix-Dienste für Fortgeschrittene" konfiguriert würden, bestehe eine Gefahr. Tatsächlich ist etwa SSH standardmäßig unter OS X abgedreht, kann aber mit einem Klick in den Systemeinstellungen aktiviert werden.

Ganz unkritisch ist die weiterhin offene Lücke aber nicht. So existiert [5] seit Donnerstag ein Modul für das Penetrationstestprogramm Metasploit, mit dem sich mittels ShellShock und eine auf dem System vorhandene VMware-Fusion-Installation aus einer virtuellen Maschine heraus Schadcode mit Rootrechten [6] ausführen lässt. Dazu muss ein Angreifer aber Zugriff auf die Maschine haben.

[Update 26.09.14 10:59 Uhr|:] Linux-Situation präzisiert. (bsc [7])

URL dieses Artikels:
https://www.heise.de/-2404000

Links in diesem Artikel:
[1] https://www.heise.de/news/ShellShock-Standard-Unix-Shell-Bash-erlaubt-das-Ausfuehren-von-Schadcode-2403305.html
[2] https://www.heise.de/news/Bash-Luecke-ShellShock-ist-noch-nicht-ausgestanden-2403607.html
[3] http://www.heise.de/thema/Heartbleed
[4] http://www.imore.com/apple-comments-shellshock-exploit-working-quickly-provide-software-update
[5] https://www.heise.de/news/Bash-Luecke-ShellShock-ist-noch-nicht-ausgestanden-2403607.html
[6] https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/osx/local/vmware_bash_function_root.rb
[7] mailto:bsc@heise.de

Copyright © 2014 Heise Medien