OS X: Apple liefert Patch für Shellshock

Apple liefert jetzt einen Patch für Shellshock aus. Der behebt zwar nicht alle bekannten Bugs im Funktionsparser von Bash, aber das ist vermutlich kein Sicherheitsproblem.

Artikel veröffentlicht am , Hanno Böck
Auch Apple-User erhalten jetzt eine Korrektur für die Shellshock-Lücke.
Auch Apple-User erhalten jetzt eine Korrektur für die Shellshock-Lücke. (Bild: Wikimedia Commons / Nja247)

Mit einigen Tagen Verzögerung hat nun auch Apple für Mac OS X einen Patch für die Shellshock-Lücke bereitgestellt. Der Patch ist für die aktuelle Version Mavericks und für die früheren Versionen Lion und Mountain Lion verfügbar.

Stellenmarkt
  1. IT Manager Robotics Process Automation und Workflow Management (m/w/x)
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. Systementwickler/in (m/w/d) - Fahrzeug- und Systemfunktionen
    Volkswagen AG, Wolfsburg
Detailsuche

Apple behebt dabei die ursprüngliche Shellshock-Lücke (CVE-2014-6271) und die später von Tavis Ormandy gefundenen Probleme im Funktionsparser (CVE-2014-7169). Weiterhin verwendet Apple offenbar den von Redhat-Entwickler Florian Weimer erstellten Patch, der die Importe von Funktionen nur noch mit einem bestimmten Prä- und Suffix erlaubt. So können Funktionen nicht mehr über beliebige Variablennamen definiert werden.

Nicht behoben werden mit dem Update die weiteren von Redhat gefundenen Speicherzugriffsfehler im Funktionsparser von Bash (CVE-2014-7186, CVE-2014-7187). Diese sind auch in den jüngsten offiziellen Bash-Releases noch nicht behoben. Allerdings ist dies vermutlich kein Sicherheitsproblem: Da der Funktionsparser nicht mehr über beliebige Variablennamen erreichbar ist, sollte der Funktionsparser keinen bösartigen Code von Angreifern mehr ausführen.

Zur Zeit wird die korrigierte Bash-Version offenbar noch nicht über Apples automatisches Update-System verteilt. Wer sein System aktualisieren möchte, muss das Update manuell herunterladen und installieren.

Golem Akademie
  1. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
  2. Terraform mit AWS
    14./15. September 2021, online
Weitere IT-Trainings

Mac OS X verwendet Bash als Standard-Shell für die Kommandozeile und ist damit ebenso wie fast alle Linux-Distributionen von Shellshock betroffen. Allerdings sind die Auswirkungen unter OS X in der Regel geringer. Webserver werden fast nie produktiv unter OS X betrieben, der DHCP-Client von OS X ist ebenfalls nicht durch Shellshock angreifbar. Auf Multiuser-Systemen kann Shellshock allerdings zum Problem werden: Wenn bestimmte Anwendungen installiert sind - ein Beispiel ist VMWare Fusion - kann ein Nutzer mit Hilfe von Shellshock Root-Zugriff erhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Krypto-Betrug in Milliardenhöhe
Gründer von Africrypt stehlen 69.000 Bitcoin

Die Gründer der Kryptoplattform Africrypt haben sich offenbar mit 69.000 gestohlenen Bitcoin abgesetzt. Der Betrug deutete sich schon vor Monaten an.

Krypto-Betrug in Milliardenhöhe: Gründer von Africrypt stehlen 69.000 Bitcoin
Artikel
  1. Buzzfeed, Wasserstoff, Berlin: Taxi-Fahrer erhalten 15.000 Euro für Elektroautos
    Buzzfeed, Wasserstoff, Berlin
    Taxi-Fahrer erhalten 15.000 Euro für Elektroautos

    Sonst noch was? Was am 24. Juni 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. 5G: Transparente mmWave-Antenne für Displays vorgestellt
    5G
    Transparente mmWave-Antenne für Displays vorgestellt

    Dongwoo hat eine mmWave-Antenne für schnellen 5G-Empfang präsentiert, die sich in Smartphone-Displays integrieren lassen soll.

  3. Lego Builder's Journey im Test: Knuffige Klötzchen knobeln
    Lego Builder's Journey im Test
    Knuffige Klötzchen knobeln

    Zwei Figuren und viele Welten: Lego Builder's Journey erzählt die Geschichte einer Reise - und sieht mit Raytracing verblüffend real aus.
    Ein Test von Marc Sauter

pythoneer 30. Sep 2014

Wenn hätte sollte könnte. Das hat überhaupt nichts mit Linux zu tun und andere erzählen...

ap (Golem.de) 30. Sep 2014

Bevor es hier weiter abrutscht, wird der Thread geschlossen.

pythoneer 30. Sep 2014

Siehe meinen anderen Thread ..


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • AMD Ryzen 5 5600X 251,59€ • Dualsense Midnight Black + R&C Rift Apart 99,99€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /