OS X Bash Update 1.0 veröffentlicht, um Shellshock Security Flaw zu adressieren
Apple hat ein wichtiges Sicherheitsupdate für Mac-Benutzer veröffentlicht, das als OS X Bash Update 1.0 bezeichnet wird. Das Update behandelt eine kürzlich entdeckte kritische Sicherheitslücke namens "Shellshock", die sich auf die Bash-Shell, die von der Terminal-App von OS X verwendete Standard-Shell, auswirkt und allen Benutzern empfohlen wird, sie zu installieren, auch wenn sie die Terminal-App nicht verwenden, Bash oder Befehlszeile auf dem Mac.
Der Download ist sehr klein und wiegt ungefähr 3.5MB, und die Versionshinweise sagen einfach "Dieses Update behebt einen Sicherheitsfehler in der bash UNIX Shell." Der Sicherheitspatch ist derzeit als drei separate Downloads für OS X Mavericks 10.9.5 verfügbar. OS X Mountain Lion und OS X Lion. Ein Bash-Patch für OS X Yosemite Public Beta und Developer Preview-Versionen sind noch nicht verfügbar.
Benutzer können die entsprechende DMG-Datei für ihre Version von OS X über die folgenden Links herunterladen:
- Bash-Update für Mavericks (OS X 10.9.5+ erforderlich)
- Bash-Update für Mountain Lion (OS X 10.8.5)
- Bash-Update für Lion (OS X 10.7.5)
Beachten Sie, dass Mac-Benutzer die neuesten Versionen ihrer jeweiligen Versionen verwenden müssen, um das Update zu installieren. Obwohl es sich um ein kleines Update handelt, empfiehlt es sich, vor der Installation von Systemupdates eine schnelle Sicherung Ihres Mac mit Time Machine oder Ihrer bevorzugten Backup-Software durchzuführen.
Momentan ist das OS X Bash Update nur über die Apple Support-Website verfügbar, wird aber voraussichtlich in naher Zukunft auch über den Software-Update-Mechanismus von OS X veröffentlicht.
Obwohl es unwahrscheinlich ist, dass die meisten Mac-Benutzer von einer bestimmten Sicherheitsverletzung betroffen sind oder das Risiko einer Verletzung des Shellshock-Bash-Exploits besteht, ist es dennoch eine gute Idee, wichtige Sicherheits-Patches wie diese zu installieren. Apple hat MacRumors zuvor die folgende Erklärung bezüglich des Fehlers und der möglichen Auswirkungen angeboten:
"Bash, eine UNIX-Befehlsshell und -sprache, die in OS X enthalten ist, weist eine Schwachstelle auf, die es nicht autorisierten Benutzern ermöglichen würde, remote die Kontrolle über anfällige Systeme zu erlangen. Mit OS X sind Systeme standardmäßig sicher und nicht für Remote-Exploits von bash verfügbar, es sei denn, Benutzer konfigurieren erweiterte UNIX-Dienste. Wir arbeiten daran, unseren fortgeschrittenen UNIX-Benutzern schnell ein Software-Update zur Verfügung zu stellen. "
Die "fortgeschrittenen UNIX-Dienste", auf die Apple verweist, sind vermutlich Remote Login und der SSH-Server, die eine Remote-Verwaltung ermöglichen, obwohl ein Benutzer noch eine gültige Anmeldung für den Zugriff auf einen Mac benötigt, und ein weiterer theoretischer Angriffsvektor der optionale OS X Apache Webserver, mit dem Mac-Benutzer Webseiten direkt von ihrem Mac aus hosten können. Auch hier ist es ziemlich unwahrscheinlich, dass viele Mac-Benutzer gefährdet sind, selbst wenn sie die Remote-Login- oder Web-Server-Funktionen von OS X verwenden.
Was ist mit einem Bash-Patch für Mac OS X Snow Leopard?
Für Mac-Benutzer, die OS X 10.6.8 Snow Leopard verwenden, haben Sie einige Optionen zum Patch-Bash:
- Sie können die neueste Version von bash mit gcc, homebrew oder MacPorts manuell installieren
- Sie können die obigen Lion-Bash-Patches manuell installieren, indem Sie entweder die pkg-Datei aus der OS X Lion-Version extrahieren und die neuen Bash-Versionen manuell in Snow Leopard kopieren oder die Distributions-Datei ändern, um die Installation auf Snow Leopard zu ermöglichen
Im Moment hat Apple keinen offiziellen Bash Patch für Snow Leopard veröffentlicht, was bedeutet, dass 10.6 Benutzer die neue Version von bash selbst installieren müssen.