Michal Ždanský Apple släppte en patch i morse farliga Shellshock-sårbarheter i bash-terminalskalet, som hypotetiskt tillät en blivande angripare att få fullständig kontroll över sårbara system, både på Linux och OS X. Apple uppgav för några dagar sedan att de flesta användare som använder standardinställningarna är säkra eftersom de inte använder avancerade unix-tjänster. Samtidigt lovade han ett snabbt släpp av plåstret. Under tiden dök han också upp inofficiellt sätt, hur man testar systemets sårbarhet och åtgärdar det.
Idag kan alla användare åtgärda sårbarheten på ett enkelt sätt, eftersom Apple har släppt en patch för sina senaste operativsystem: OS X Mavericks, Mountain Lion och Lion. Uppdateringen kan installeras antingen via menyn Programuppdatering i toppmenyn (Apple-ikonen) eller i Mac App Store, där patchen kommer att visas bland andra uppdateringar. Det senaste operativsystemet OS X Yosemite, som fortfarande finns i betaversion, har ännu inte fått någon patch, men Apple kommer troligen att släppa det i den kommande nya betaversionen, och den skarpa versionen, som är planerad att släppas i oktober, kommer nästan har säkerligen åtgärdat sårbarheten.
intressant, 10.9.5 erbjuder då inte uppdateringen
Manuellt krävs. http://support.apple.com/kb/DL1769
Nej, det är inte en bugg i unix-kärnan i bash-processorn.
Bash är inte en del av kärnan och det är inte en processor.
Är det inte bara farligt för servrar? Det vill säga om användaren inte blint kör alla dumheter från mejlet?
Se till att tillämpa korrigeringarna.
Jag kan inte komma på en direkt exploatering i en vanligare skrivbordsinstallation av OS X (vilket inte betyder någonting)... men det är mycket möjligt att det finns en genväg någonstans där programmeraren blygsamt gjorde livet enklare medan han mesaniserade env. Ibland nämns den extremt vanliga användningen av DHCP i detta sammanhang, men jag har inte studerat om det också är fallet med OS X.
Än en gång - den sista personen som applicerar frostingen är hacklaman.