Apple stellt für OS X ein Sicherheitsupdate für die ShellShock-Lücke bereit — weiteres Update notwendig?

Apple stellt für OS X ein Sicherheitsupdate für die ShellShock-Lücke bereit — weiteres Update notwendig?

Mit dem Sicherheitsupdate APPLE-SA-2014–09-29–1 hat Apple ein erstes Update für die ShellShock-Lücke(n) veröffentlicht. Das Update wird angeboten für OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 und OS X Mavericks v10.9.5.

Die ausgelieferte Version behebt dabei die zuerst bekannte ShelShock-Lücke CVE-2014–6271 und die etwas später Lücke im Funktionsparser CVE-2014–7169. Zusätzlich scheint ein Patch des Redhat-Entwicklers Floran Weimer eingepflegt zu sein, welcher den Import von Funktionen nur noch mit einem bestimmten Prä-/Suffix erlaubt. Dieser Patch wurde mittlerweile auch offiziell vom den Bash-Entwicklern als Patch angeboten. Die Revisionsnummer „53” anstatt „54” nach der Installation des Updates lässt sich dahingehend erklären, dass Apple anscheinend sich für die Verwendung des Patch von Florian Weimer entschieden hat, bevor dieser offiziell auch von den Bash-Entwicklern aufgenommen wurde.

Besonders wichtig sind meiner Meinung nach auf jeden Fall die ersten beiden Patches, da diese auch aktiv zur Zeit ausgenutzt wurden. Der dritte Patch wiederum dient soll wiederum ähnliche Lücken in Zukunft verhindern. Allerdings muss man auch sagen, dass die Situation um die ShellShock-Lücken generell sehr undurchsichtig ist, da noch weitere Lücken gemeldet wurden, für die zur Zeit nur wenig bis überhaupt keine Informationen vorliegen. Von RedHat wurden zum Beispiel weitere Fehler in Bash gefunden (CVE-2014–7186, CVE-2014–7187), für die es aktuell noch keine Updates gibt. Allerdings geht man zur Zeit davon aus, dass diese aufgrund der drei eingepflegten Patches kein wirkliches Sicherheitsproblem mehr darstellen. Hintergrund ist, dass nach den drei Sicherheitspatches der der Funktionsparser nicht mehr über beliebige Variablennamen erreichbar ist und damit sollte auch kein bösartiger Code mehr von Angreifern ausführbar sein. Ob diese Einschätzung stimmt, wird die Zukunft zeigen müssen.

Was ich allerdings absolut nicht verstehe ist, warum Apple das Update zumindest dem aktuellen Stand nach nicht über die Update-Funktion ausliefert. Erwähnt wurde das Update nur über die Sicherheits-Mailingliste von Apple und es steht ausschließlich auf der Apple-Support Homepage zum Download zur Verfügung. Der breiten Masse der OSX-Nutzer wird das Sicherheitsupdate daher erst einmal verbogen bleiben.

Der Download des Updates ist über folgende Seiten möglich:
http://support.apple.com/kb/DL1767 – OS X Lion
http://support.apple.com/kb/DL1768 – OS X Mountain Lion
http://support.apple.com/kb/DL1769 – OS X Mavericks

(Hinweis: Artikel aktualisiert am 30.09.2014 um 13:40)