Abo
  • Services:
Anzeige
Auch Apple-User erhalten jetzt eine Korrektur für die Shellshock-Lücke.
Auch Apple-User erhalten jetzt eine Korrektur für die Shellshock-Lücke. (Bild: Wikimedia Commons / Nja247)

OS X: Apple liefert Patch für Shellshock

Apple liefert jetzt einen Patch für Shellshock aus. Der behebt zwar nicht alle bekannten Bugs im Funktionsparser von Bash, aber das ist vermutlich kein Sicherheitsproblem.

Anzeige

Mit einigen Tagen Verzögerung hat nun auch Apple für Mac OS X einen Patch für die Shellshock-Lücke bereitgestellt. Der Patch ist für die aktuelle Version Mavericks und für die früheren Versionen Lion und Mountain Lion verfügbar.

Apple behebt dabei die ursprüngliche Shellshock-Lücke (CVE-2014-6271) und die später von Tavis Ormandy gefundenen Probleme im Funktionsparser (CVE-2014-7169). Weiterhin verwendet Apple offenbar den von Redhat-Entwickler Florian Weimer erstellten Patch, der die Importe von Funktionen nur noch mit einem bestimmten Prä- und Suffix erlaubt. So können Funktionen nicht mehr über beliebige Variablennamen definiert werden.

Nicht behoben werden mit dem Update die weiteren von Redhat gefundenen Speicherzugriffsfehler im Funktionsparser von Bash (CVE-2014-7186, CVE-2014-7187). Diese sind auch in den jüngsten offiziellen Bash-Releases noch nicht behoben. Allerdings ist dies vermutlich kein Sicherheitsproblem: Da der Funktionsparser nicht mehr über beliebige Variablennamen erreichbar ist, sollte der Funktionsparser keinen bösartigen Code von Angreifern mehr ausführen.

Zur Zeit wird die korrigierte Bash-Version offenbar noch nicht über Apples automatisches Update-System verteilt. Wer sein System aktualisieren möchte, muss das Update manuell herunterladen und installieren.

Mac OS X verwendet Bash als Standard-Shell für die Kommandozeile und ist damit ebenso wie fast alle Linux-Distributionen von Shellshock betroffen. Allerdings sind die Auswirkungen unter OS X in der Regel geringer. Webserver werden fast nie produktiv unter OS X betrieben, der DHCP-Client von OS X ist ebenfalls nicht durch Shellshock angreifbar. Auf Multiuser-Systemen kann Shellshock allerdings zum Problem werden: Wenn bestimmte Anwendungen installiert sind - ein Beispiel ist VMWare Fusion - kann ein Nutzer mit Hilfe von Shellshock Root-Zugriff erhalten.


eye home zur Startseite
pythoneer 30. Sep 2014

Wenn hätte sollte könnte. Das hat überhaupt nichts mit Linux zu tun und andere erzählen...

ap (Golem.de) 30. Sep 2014

Bevor es hier weiter abrutscht, wird der Thread geschlossen.

pythoneer 30. Sep 2014

Siehe meinen anderen Thread ..



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Vaihingen
  2. Alfred Kärcher GmbH & Co. KG, Winnenden bei Stuttgart
  3. Schaeffler Technologies AG & Co. KG, Nürnberg
  4. Enza Zaden Deutschland GmbH & Co. KG, Dannstadt


Anzeige
Blu-ray-Angebote
  1. (u. a. Resident Evil: Vendetta 12,97€, John Wick: Kapitel 2 9,99€, Fight Club 7,99€ und...
  2. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Mirai-Nachfolger

    Experten warnen vor "Cyber-Hurrican" durch neues Botnetz

  2. Europol

    EU will "Entschlüsselungsplattform" ausbauen

  3. Krack-Angriff

    AVM liefert erste Updates für Repeater und Powerline

  4. Spieleklassiker

    Mafia digital bei GoG erhältlich

  5. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  6. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  7. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  8. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  9. Die Woche im Video

    Wegen Krack wie auf Crack!

  10. Windows 10

    Fall Creators Update macht Ryzen schneller



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Essential Phone im Test: Das essenzielle Android-Smartphone hat ein Problem
Essential Phone im Test
Das essenzielle Android-Smartphone hat ein Problem
  1. Teardown Das Essential Phone ist praktisch nicht zu reparieren
  2. Smartphone Essential Phone kommt mit zwei Monaten Verspätung
  3. Andy Rubin Essential gewinnt 300 Millionen US-Dollar Investorengelder

Pixel 2 und Pixel 2 XL im Test: Google fehlt der Mut
Pixel 2 und Pixel 2 XL im Test
Google fehlt der Mut
  1. Pixel Visual Core Googles eigener ISP macht HDR+ schneller
  2. Smartphones Googles Pixel 2 ist in Deutschland besonders teuer
  3. Pixel 2 und Pixel 2 XL im Hands on Googles neue Smartphone-Oberklasse überzeugt

Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

  1. Re: Scheint mir eigentlich ne gute Entwicklung ..

    SchreibenderLeser | 06:29

  2. Re: Gibt es bei uns auch

    Vögelchen | 06:28

  3. Re: Kompromittiertes System und Beweisverwertung!?

    SchreibenderLeser | 06:23

  4. Re: Wo liegt mein Fehler?

    Kangaxx | 06:11

  5. Re: Die Kunden wollen, aber die Anbieter nicht

    Ovaron | 05:25


  1. 14:50

  2. 13:27

  3. 11:25

  4. 17:14

  5. 16:25

  6. 15:34

  7. 13:05

  8. 11:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel