Apple wypuściło dziś rano łatkę niebezpieczne luki w zabezpieczeniach Shellshock w powłoce terminala bash, co hipotetycznie pozwoliło potencjalnemu atakującemu uzyskać pełną kontrolę nad podatnymi na ataki systemami, zarówno na Linuksie, jak i OS X. Apple stwierdził kilka dni temu, że większość użytkowników korzystających z ustawień domyślnych jest bezpieczna, ponieważ nie korzysta z zaawansowanych usługi uniksowe. Jednocześnie obiecał szybkie wydanie łatki. W międzyczasie on też się pojawił nieoficjalny sposób, jak sprawdzić podatność systemu i ją naprawić.
Dziś każdy użytkownik może w prosty sposób naprawić lukę, gdyż Apple wypuściło łatkę dla swoich najnowszych systemów operacyjnych: OS X Mavericks, Mountain Lion i Lion. Aktualizację można zainstalować poprzez menu Aktualizacja oprogramowania w górnym menu (ikona Apple) lub w sklepie Mac App Store, gdzie łatka pojawi się wśród innych aktualizacji. Najnowszy system operacyjny OS X Yosemite, będący jeszcze w wersji beta, nie otrzymał jeszcze łatki, ale Apple prawdopodobnie wypuści ją w nadchodzącej nowej wersji beta, a wersja Sharp, której premiera zaplanowana jest na październik, niemal z pewnością naprawili lukę.
ciekawe, 10.9.5 nie oferuje wtedy aktualizacji
Wymagane ręcznie. http://support.apple.com/kb/DL1769
Nie, to nie jest błąd w jądrze Uniksa w procesorze bash.
Bash nie jest częścią jądra i nie jest procesorem.
Czy nie jest to niebezpieczne tylko dla serwerów? To znaczy, czy użytkownik nie będzie ślepo puszczał wszystkich bzdur z maila?
Pamiętaj o zastosowaniu poprawek.
Nie przychodzi mi do głowy bezpośredni exploit w bardziej powszechnej instalacji systemu OS X na komputerze stacjonarnym (co nic nie znaczy)... ale jest całkiem możliwe, że istnieje gdzieś skrót, w którym programista nieśmiało ułatwił życie, mezanizując środowisko. Czasami w tym kontekście wspomina się o niezwykle powszechnym zastosowaniu protokołu DHCP, ale nie badałem, czy dzieje się tak również w przypadku systemu OS X.
Powtórzę raz jeszcze - ostatnią osobą, która nałoży lukier jest hack lama.