Super-Gau bei Apple und Linux?

Die amerikanische Regierung ist alarmiert: in Betriebssystemen von Linux und Apple hat sich eine neue schwerwiegende Sicherheitslücke aufgetan: "Shellshock". Was harmlos klingt, könnte verheerendere Schäden anrichten, als der "Heartbleed"-Bug im vergangenen April. Angreifer können über den Bug auf fremde Großrechner zugreifen und diese missbrauchen.

Für den Nutzer ist die Sicherheitslücke kaum zu bemerken, denn sie findet auf einer Ebene statt, auf die er meistens nicht zugreift: Die Kommandozeile. Wer sich dort Zugang verschafft hat, hat direkten Einfluss auf das Betriebssystem. Die Kommandozeile erinnert an die Zeiten von MS DOS, in der lange und teilweise komplexe Tastaturbefehle eingegeben werden mussten. Um das zu umgehen, gibt es die Betriebssysteme, durch die die Befehle durch anklicken ausgeführt werden können. Rechner, auf denen Versionen der Linux- oder Unix-Betriebssysteme installiert sind und Laptops und Computer von Apple sind besonders betroffen - aber auch viele Webserver.

Fast jedes System mit Linux ist betroffen

Die Betriebssysteme von Linux, Apple und Unix verwenden häufig für ihre Kommandozeile das identische Programm, das sogenannte "Bash". Neben "Shellshock" wird diese Sicherheitslücke daher auch "Bash Bug" genannt. Das ist eine freie Software, die von jedem genutzt werden kann.

In dieser Software hat der französische Entwickler Stephane Chazelas von Akamai Technologies einen Programmierfehler entdeckt. Der ist nicht nur für einzelne Geräte verheerend, sondern auch für viele Internetserver. Die Hacker könnten über die Server versuchen, Websites mit Viren auszuliefern oder Spam-Mails zu verschicken - und das ohne großen Aufwand, sagen Experten.

Da der Eingriff von Nutzern nicht zu verhindern ist, vergibt das Team für IT-Sicherheit des US-Ministeriums für innere Sicherheit für diese Sicherheitslücke zehn von zehn Punkten. Das bedeutet: Shellshock ist eine Sicherheitslücke, deren Folgen nicht abschätzbar sind.

Fehler blieb 20 Jahre unentdeckt

Das Ausmaß erinnert an den im April bekannt gewordenen "Heartbleed"-Bug. Der Programmfehler ermöglichte, private Daten wie Passwörter zu stehlen und galt als schwere Bedrohung für die Internet-Sicherheit.

Die Sicherheitslücke besteht wahrscheinlich schon seit mehr als 20 Jahren. Bash kam 1989 auf den Markt - die Sicherheitslücke wurde nur durch Zufalls entdeckt. Auch heute noch benutzen Linux und Apple die Bash-Software für ihre Kommandozeile.

Kurz nach Bekanntwerden des Bash-Bugs kam die erste Hacker-Software in Umlauf. Aber einige IT-Sicherheitsfirmen haben bereits Sicherheitsprogramme für Linux bereit gestellt. Nutzer von Apple sollten darauf warten, ob es erste Updates gibt.

Pab/SC (rtr, AFP,SZ)