Michal Ždanský Apple udgav en patch her til morgen farlige Shellshock-sårbarheder i bash-terminalskallen, som hypotetisk tillod en potentiel angriber at få fuldstændig kontrol over sårbare systemer, både på Linux og OS X. Apple udtalte for et par dage siden, at de fleste brugere, der bruger standardindstillingerne, er sikre, fordi de ikke bruger avanceret unix-tjenester. Samtidig lovede han en hurtig frigivelse af plasteret. I mellemtiden dukkede han også op uofficiel måde, hvordan man tester systemets sårbarhed og retter det.
I dag kan alle brugere rette op på sårbarheden på en enkel måde, for Apple har udgivet en patch til sine nyeste styresystemer: OS X Mavericks, Mountain Lion og Lion. Opdateringen kan installeres enten via menuen Softwareopdatering i topmenuen (Apple-ikonet) eller i Mac App Store, hvor patchen vises blandt andre opdateringer. Det seneste styresystem OS X Yosemite, som stadig er i betaversion, har endnu ikke fået en patch, men Apple vil formentlig frigive den i den kommende nye betaversion, og den skarpe version, som efter planen udkommer til oktober, vil næsten helt sikkert have rettet sårbarheden.
interessant, 10.9.5 tilbyder så ikke opdateringen
Manuelt påkrævet. http://support.apple.com/kb/DL1769
Nej, det er ikke en fejl i unix-kernen i bash-processoren.
Bash er ikke en del af kernen, og det er ikke en processor.
Er det ikke kun farligt for servere? Det vil sige, hvis brugeren ikke blindt kører alle sludder fra e-mailen?
Sørg for at anvende rettelserne.
Jeg kan ikke komme i tanke om en direkte udnyttelse i en mere almindelig OS X desktop-installation (hvilket ikke betyder noget)... men det er meget muligt, at der er en genvej et sted, hvor en programmør blufærdigt gjorde livet lettere, mens han mesaniserede env. Nogle gange nævnes den ekstremt almindelige brug af DHCP i denne sammenhæng, men jeg har ikke undersøgt, om det også er tilfældet med OS X.
Endnu en gang - den sidste person til at anvende frostingen er hack-llamaen.