Apple will Lücke in Kommandozeile zeitnah beheben
Apple hat gegenüber Medienvertretern erklärt, dass man an einer Sicherheitsaktualisierung arbeitet, um schnellstmöglich die bekanntgewordene Sicherheitslücke in der Kommandozeile Bash zu beheben (siehe
). Allerdings weist Apple darauf hin, dass
nur Nutzer gefährdet seien, die erweiterte Unix-Funktionen aktiviert haben. Bei einer Standardinstallation von OS X sind Nutzer nicht gefährdet, da die Bash in diesem Fall weder im Netzwerk noch aus dem Internet direkt oder indirekt erreichbar ist. Angreifer können daher keine schädlichen Programmanweisungen einschleusen.
Mittlerweile besteht aber ein anderer
Gefahrenherd in Form veralteter DSL-Router, da auch diese meist mit einem Unix-kompatiblen System und der Bash ausgestattet sind. Sofern hier CGI-Skripte mit Bash-Befehlen zum Einsatz kommen, besteht die Gefahr der Router-Manipulation. Hier würde es Angreifern schon ausreichen, eine präparierte Webseite über den Web-Browser im lokalen Netzwerk einzuschleusen. Laut Heise Security steht bisher nur fest, dass Router mit Busybox nicht betroffen ist.
Anders sieht es bei
Industrie-Anlagen mit einigen ICS- und SCADA-Systemen aus, auf denen die Bash zum Einsatz kommt. Zudem hat sich gezeigt, dass die bereits veröffentlichten Sicherheits-Updates für Linux die Lücke nicht gänzlich schließen. Das Sicherheitsproblem besteht damit immer noch und es wurden bereits einige Angriffe auf CGI und Bash registriert.
Weiterführende Links: