ShellShock-Bug: Apple will OS X "bald" abdichten
Von der schweren Bash-Lücke, um die sich unter Linux bereits gekümmert wird, sind auch Mac-OS-X-Nutzer betroffen. Apple sieht aber wenig Angriffsfläche.
Zwar enthält ein am Mittwoch ausgelieferter Linux-Patch für den problematischen ShellShock-Fehler augenscheinlich noch weitere Lücken, doch die Community beschäftigt sich intensiv mit dem Problem. Von Apple, dessen Mac OS X ebenfalls betroffen ist, war dagegen bislang nichts zu hören. Nun hat die Firma aber eine erste Stellungnahme zu der Problematik abgegeben, die manche Beobachter für schlimmer als die Heartbleed-Lücke halten.
Gegenüber dem Fachdienst iMore sagte ein Apple-Sprecher am späten Donnerstagabend mitteleuropäischer Zeit, bei der Firma werde momentan daran gearbeitet, "schnell ein Software-Update" auszuliefern. Ein Termin wurde aber nicht kommuniziert.
Allerdings sieht das Unternehmen in ShellShock, mit dessen Hilfe Shell-Kommandos auf betroffenen Systemen von Unbefugten auch aus der Ferne ausgeführt werden können, offenbar kein großes Problem. Die "große Mehrzahl" der OS-X-User sei nicht betroffen, weil es keine aus der Ferne nutzbaren Dienste gibt, die standardmäßig aktiviert seien. Nur wenn "Unix-Dienste für Fortgeschrittene" konfiguriert würden, bestehe eine Gefahr. Tatsächlich ist etwa SSH standardmäßig unter OS X abgedreht, kann aber mit einem Klick in den Systemeinstellungen aktiviert werden.
Ganz unkritisch ist die weiterhin offene Lücke aber nicht. So existiert seit Donnerstag ein Modul für das Penetrationstestprogramm Metasploit, mit dem sich mittels ShellShock und eine auf dem System vorhandene VMware-Fusion-Installation aus einer virtuellen Maschine heraus Schadcode mit Rootrechten ausführen lässt. Dazu muss ein Angreifer aber Zugriff auf die Maschine haben.
[Update 26.09.14 10:59 Uhr|:] Linux-Situation präzisiert. (bsc)
