Mit der Shellshock-Lücke ist nicht zu spaßen. Wir zeigen, wie Ihr sie unter Mac OS X beheben könnt und Euren Mac absichert.

Bei der Shellshock-Lücke  handelt es sich um ein schweres Sicherheitsproblem in der Unix-Shell „Bash„, die unter anderem in Mac OS X, Linux und vielen weiteren Unix-basierten Betriebssystemen Verwendung findet. Damit sind weltweit hunderte von Millionen Computern betriffen. Die Sicherheitslücke kann dazu dienen, Skripte aus fremden Quellen ungeprüft auf lokalen Rechnern auszuführen, zudem lassen sich Beschränkungen der Shell aushebeln. Auch der Druckdienst CUPS und der DHCP-Dienst sind von der Lücke betroffen, auch wenn ihr praktischer Einsatz auf Desktop-Systemen eher unwahrscheinlich ist. Nichtsdestotrotz solltet Ihr die Lücke auch auf Eurem Mac patchen: Wir zeigen, wie es geht.

Prüfen, ob die Shellshock-Lücke vorliegt

Öffnet ein Terminal-Fenster aus /Programme/Dienstprogramme/ und gebt dort folgenden Befehl ein:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Keine Sorge: Der Code ist harmlos, alles, was passiert, ist ein Test. Ihr könnt den Befehl einfach per Copy & Paste im Terminal einfügen. Meldet Euer Mac „vulnerable“, dann liegt auch auf Eurem System die Shellshock-Lücke vor.

shellshock1

Mit einem einfachen Terminal-Befehl könnt Ihr prüfen, ob Ihr betroffen seid.

Sicherheitsupdate für die Shellshock-Lücke verfügbar

Grundsätzlich gefährlich ist die Lücke auf „normalen“ Macs zwar nicht, sondern betrifft eher Geräte im Server-Betrieb. Nichtsdestotrotz ist die Shellshock-Sicherheitslücke von der amerikanischen National Institute of Standards and Technology (NIST) mit einer Gefährlichkeitsstufe von 10,0 eingestuft worden – dem höchstmöglichen Wert. Schon deshalb sollte sie dringend behoben werden, wie übrigens alle Sicherheitslücken. Apple hat daher Updates für die Betriebssysteme Mac OS X 10.7 „Lion“, 10.8 „Mountain Lion“ und 10.9 „Mavericks“ veröffentlicht, verteilt diese jedoch nicht über die reguläre Software-Updatefunktion. Stattdessen müssen die Updates manuell heruntergeladen und installiert werden.

shellshock2

Apple stellt Shellshock-Patches für OS X 10.7, 10.8 und 10.9 zur Verfügung.

Der Download des Updates ist über die folgenden Seiten möglich:

http://support.apple.com/kb/DL1767 – OS X Lion
http://support.apple.com/kb/DL1768 – OS X Mountain Lion
http://support.apple.com/kb/DL1769 – OS X Mavericks
Ältere Versionen erhalten leider keinen Patch mehr – hier hilft im Zweifel nur ein Update auf eine aktuellere OS X-Version.

shellshock3

Der Sicherheitspatch wird in Form eines Installers geliefert.

Sicherheitspatch installieren
Mountet das Disk-Image, klickt doppelt auf den Installer und klickt Euch durch die Installation. Ein Neustart wird nicht verlangt, es empfiehlt sich aber, den Rechner einmal neu zu starten. Anschließend ist Euer Rechner gegen die Shellshock-Lücke abgesichert, was Ihr prüfen könnt, indem Ihr erneut den oben angegebenen String im Terminal eingebt. Fehlt der Hinweis „vulnerable“, ist Euer System wieder sicher.

shellshock3

Gebt die Abfrage erneut im Terminal ein. Fehlt der Hinweis „vulnerable“, ist Euer System wieder sicher.

Weitersagen:

Über den Autor

Christian Rentrop

Christian Rentrop

Freier Journalist, Baujahr 1979. Erste Gehversuche 1986 am Schneider CPC. 1997 ging es online. Seither als Blogger und Journalist in Totholzwäldern, auf digitalen Highways und manchmal in der echten Welt unterwegs.
Spendier‘ mir einen Kaffee.

Kommentieren:

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich stimme zu.

Kommentare

  • „… verteilt diese jedoch nicht über die reguläre Software-Updatefunktion. Stattdessen müssen die Updates manuell heruntergeladen und installiert werden.“
    Super Leistung Apple! Jetzt kaufe ich mir auch so’n Sektenrechner. Yippiyeiyei.

  • Da die sogenannten Sektenrechner, anders als andere Systeme, die Bash nutzen, über eine vernünftige GUI verfügen, dürften die wenigsten Apple-User überhaupt in die Gefahr kommen, dass bei Ihnen irgendwas mit dieser Lücke passiert ;)

shares