zurück zum Artikel

Mac OS X: Bash-Update gegen ShellShock

Das von Apple veröffentlichte Update soll kritische Schwachstellen in der Unix-Shell Bash beseitigen. Es steht aktuell nur für OS X 10.9, 10.8 und 10.7 bereit und muss manuell bezogen werden.

Apple hat in der Nacht auf Dienstag das "OS X Bash Update 1.0" freigegeben. Es soll kritische Sicherheitslücken [1] in der Unix-Shell Bash beseitigen, die es unter Umständen ermöglicht, Schadcode aus der Ferne auszuführen.

Das Bash-Update muss von Apples Download-Seite bezogen werden

Das Update schließt nach Angabe des Mac-Herstellers die beiden Lücken, die als CVE-2014-6271 [2] und CVE-2014-7169 [3] geführt werden. Ob drei weitere bislang bekannte Schwachstellen [4] auch die Bash in OS X betreffen und ob Apple dies beseitigen wird, bleibt vorerst unklar.

Das OS X Bash Update 1.0 steht derzeit für Mac OS X 10.9 Mavericks [5], 10.8 Mountain Lion [6], 10.7 Lion [7] sowie Lion Server zum Download bereit. Systemvoraussetzung ist die jeweils neueste Version – also Mac OS X10.9.5, 10.8.5 oder 10.7.5.

Das Update muss über Apples Software-Seite heruntergeladen werden, im Mac App Store beziehungsweise der Software-Aktualisierung bietet der Konzern das Update aktuell nicht an. Für OS X 10.6 Snow Leopard und das als öffentliche Beta und Entwicklerversion erhältliche OS X 10.10 Yosemite liegt kein Bash-Update vor.

Apple hatte vorab betont [8], die "allermeisten Mac OS X-Nutzer" seien von der Schwachstelle nicht betroffen. Das System ist in der Standardeinstellung sicher, erklärte der Hersteller, nur durch die Konfiguration "fortgeschrittener UNIX-Diensten" werde es möglicherweise angreifbar.

Um zu kontrollieren, ob das Bash-Update erfolgreich installiert wurde, sollten Nutzer im Terminal mit der Eingabe bash --version die Versionsnummer auslesen: Sie lautet nach der Aktualisierung wie folgt:

Mavericks: GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin13)

Mountain Lion: GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin12)

Lion: GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin11) (lbe [9])


URL dieses Artikels:
http://www.heise.de/-2405325

Links in diesem Artikel:
[1] https://www.heise.de/meldung/ShellShock-Standard-Unix-Shell-Bash-erlaubt-das-Ausfuehren-von-Schadcode-2403305.html
[2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
[3] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169
[4] https://www.heise.de/meldung/ShellShock-Teil-3-Noch-drei-Sicherheitsprobleme-bei-der-Bash-2404788.html
[5] http://support.apple.com/kb/DL1769
[6] http://support.apple.com/kb/DL1768
[7] http://support.apple.com/kb/DL1767
[8] https://www.heise.de/meldung/ShellShock-Bug-Apple-will-OS-X-bald-abdichten-2404000.html
[9] mailto:lbe@heise.de