Michal Ždanský Apple ha rilasciato una patch questa mattina pericolose vulnerabilità Shellshock nella shell del terminale bash, che ipoteticamente consentiva a un potenziale utente malintenzionato di ottenere il controllo completo sui sistemi vulnerabili, sia su Linux che su OS X. Apple ha dichiarato pochi giorni fa che la maggior parte degli utenti che utilizzano le impostazioni predefinite sono al sicuro perché non utilizzano funzionalità avanzate servizi Unix. Allo stesso tempo, ha promesso un rapido rilascio della patch. Nel frattempo è apparso anche lui modo non ufficiale, come testare la vulnerabilità del sistema e risolverla.
Oggi tutti gli utenti possono risolvere la vulnerabilità in modo semplice, perché Apple ha rilasciato una patch per i suoi ultimi sistemi operativi: OS X Mavericks, Mountain Lion e Lion. L'aggiornamento può essere installato tramite il menu Aggiornamento software nel menu in alto (icona Apple) o nel Mac App Store, dove la patch verrà visualizzata tra gli altri aggiornamenti. L'ultimo sistema operativo OS X Yosemite, che è ancora in versione beta, non ha ancora ricevuto una patch, ma Apple probabilmente lo rilascerà nella prossima nuova versione beta, e la versione Sharp, il cui rilascio è previsto per ottobre, sarà quasi sicuramente hanno risolto la vulnerabilità.
interessante, la 10.9.5 poi non offre l'aggiornamento
Richiesto manualmente. http://support.apple.com/kb/DL1769
No, non è un bug nel kernel Unix nel processore bash.
Bash non fa parte del kernel e non è un processore.
Non è pericoloso solo per i server? Cioè, se l'utente non esegue ciecamente tutte le sciocchezze dell'e-mail?
Assicurati di applicare le correzioni.
Non riesco a pensare a un exploit diretto in un'installazione desktop OS X più comune (il che non significa nulla)... ma è del tutto possibile che ci sia una scorciatoia da qualche parte in cui un programmatore ha timidamente reso la vita più semplice mentre mesanifica l'ambiente env. Talvolta in questo contesto viene menzionato l'uso estremamente comune di DHCP, ma non ho studiato se questo sia anche il caso con OS X.
Ancora una volta, l'ultima persona ad applicare la glassa è il lama hacker.