Schlimmer als Heartbleed? Eine Sicherheitslücke in der Unix-Shell Bash versetzt Sicherheitsexperten in Aufruhr. Der sogenannte „Shellshock“, so der Name, erlaubt das Ausführen von Schadcode in Linux-Systemen und könnte auf Jahre Probleme bereiten.Â
Auch interessant: Mit diesem Tool können Polizisten dein Smartphone überwachen
Mit über 90 Prozent Marktanteil ist Microsofts Windows immer noch das meistgenutzte Betriebssystem, danach folgt Mac OS und irgendwann – ganz abgeschlagen – findet sich dann Linux. Wie gefährlich kann dann wohl eine Sicherheitslücke im OS mit dem Pinguin-Maskottchen sein? Überraschenderweise sehr gefährlich. Denn hier ist nur die Rede von Desktop-Betriebssystemen. Linux hingegen bildet die softwaretechnische Basis von Servern, integrierten Systemen, Supercomputern und nicht zuletzt auch Android. Kaum verwunderlich also, dass die auf „Shellshock“ getaufte Sicherheitslücke von Experten sogar als gravierender als Heartbleed eingeschätzt wird.
Bash-Shell sehr weit verbreitet
Aber worum geht es nun beim „Shellshock“ konkret? Die meisten Linux-Distributionen und BSD-Varianten, unter anderem auch OS X von Apple, nutzen die freie Unix-Shell namens Bash. Das Programm ist Open Source und wird bereits seit 1987 entwickelt. Der französische Linux-Entwickler Stephane Chazelas hat nun eine Sicherheitslücke in Bash entdeckt, über der in Umgebungsvariablen Schadcode eingefügt werden, der beim Start einer neuen Shell dann ungehindert ausgeführt wird.
Ist man selbst vom Shellshock betroffen? Die Frage lässt sich relativ leicht beantworten, indem man einfach folgenden Code in die Kommandozeile einfügt:
env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”
Ein betroffenes System wird dann folgendes als Antwort ausgeben:
vulnerable
this is a test
Apple hat noch keinen Patch veröffentlicht. Wie Nutzer von OS X sich aber trotzdem schützen können, erfahren sie auf StackExchange. Die Macher der großen Linux-Distributionen haben hingegen bereits reagiert und bieten Patches an:
Android nicht betroffen, dennoch keine Entwarnung
Trotz der Tatsache, dass Android auf Linux basiert, stehen Android-Nutzer aber auf der sicheren Seite. Im von Google entwickelten mobilen Betriebssystem kommt die Bash-Shell nicht zum Einsatz, demnach ist das OS auch nicht von der Sicherheitslücke betroffen. Das macht den „Shellshock“ an sich aber nicht weniger gefährlich, schließlich gibt es noch genügend Systeme, die betroffen sind. Vor allem dürfte es, bei der schieren Masse an auf Linux beziehungsweise Unix-basierenden Systemen, kaum möglich sein, überall Patches auszuliefern. Router und TV-Geräte laufen beispielsweise auch auf Linux. Doch während es für Router wenigstens regelmäßig Firmware-Updates gibt, die zugegebenermaßen von den Nutzern aber kaum zur Kenntnis genommen geschweige denn installiert werden, bieten Hersteller für Fernseher oder andere netzfähige Geräte nie entsprechende Updates aus. Insofern dürfte uns der „Shellshock“ wohl leider noch einige Jahre begleiten.
Quelle: T3n