Der Unix-Spezialist Stéphane Chazelas hat einen schwerwiegenden Fehler in der Unix-Shell Bash entdeckt, dessen Ausmaß nach ersten Einschätzungen an den
Heartbleed-Bug heranreicht. Über die Sicherheitslücke namens Shellshock (CVE-2014-6271) können Angreifer unbemerkt Schadsoftware auf
Linux- und Mac-OS-Systemen ausführen. Dies ist daher so dramatisch, da nicht nur Rechner von Endkunden, sondern auch viele Firmenserver von Shellshock betroffen sind.
Der Fehler sei bereits seit über 20 Jahren in der Bash-Shell enthalten und genau hier sieht IT-Sicherheitsexperte
Robert Graham von Errata Security die Brisanz des Bugs. Während die großen Softwarehersteller bereits jetzt auf den Bug reagieren und ihre Server- und Endkunden-Software mit Patches versorgen, werden unzählige ältere Programme und Geräte weiterhin auf die kritische Bash-Shell zurückgreifen. Beispielsweise setzt die Software von vielen Netzwerk-Kameras auf webbasierende Bash-Shell-Skripte.
Auch der US-amerikanische Softwarehersteller Red Hat, Entwickler der Unternehmens-Distribution Red Hat Linux und Sponsor von Fedora,
stuft die Bash-Lücke als kritisch ein. Red Hat hat bereits mit der Auslieferung einer gepatchten Bash-Version begonnen. Ebenso stehen bereits Updates seitens Debian, Fedora, OpenSuse und
Ubuntu zur Verfügung. Für Mac-User ist hingegen noch kein Sicherheitspatch verfügbar.
Allerdings scheinen auch die gepatchten Bash-Versionen noch nicht frei von Fehlern zu sein. So hat der Google-Entwickler
Tavis Ormandy auf Twitter einen Code veröffentlicht, der auch die Sicherheitsvorkehrungen der neuen Version umgeht. Eine vollständige Bereinigung des Bugs ist deshalb so schwierig, weil ein zu forsches Vorgehen zu Fehlfunktionen in unzähligen Programmen und Geräten führen würde. Eine umfassende Lösung für die Shellshock-Problematik lässt noch auf sich warten.
Windows-Nutzer sind prinzipiell nicht von Shellshock betroffen, allerdings könnte Schadsoftware über manipulierte Webseiten in das System dringen. Daher ist es, wie immer, angebracht eine aktuelle Antiviren-Software mit Echtzeitschutz einzusetzen. Eine kostenlose Lösung wäre beispielsweise
Avira Free Antivirus 2014.