Michal Ždanský Apple je danes zjutraj izdal popravek nevarne ranljivosti Shellshock v terminalski lupini bash, ki je hipotetično omogočila morebitnemu napadalcu, da pridobi popoln nadzor nad ranljivimi sistemi, tako v Linuxu kot OS X. Apple je pred nekaj dnevi izjavil, da je večina uporabnikov, ki uporabljajo privzete nastavitve, varnih, ker ne uporabljajo naprednih storitve unix. Ob tem je obljubil hiter izid popravka. Vmes se je pojavil tudi on neuraden način, kako preizkusiti ranljivost sistema in jo popraviti.
Danes lahko vsi uporabniki odpravijo ranljivost na preprost način, saj je Apple izdal popravek za svoje najnovejše operacijske sisteme: OS X Mavericks, Mountain Lion in Lion. Posodobitev je mogoče namestiti prek menija Posodobitev programske opreme v zgornjem meniju (ikona Apple) ali v trgovini Mac App Store, kjer se bo popravek pojavil med drugimi posodobitvami. Najnovejši operacijski sistem OS X Yosemite, ki je še v beta različici, še ni dobil popravka, vendar ga bo Apple verjetno izdal v prihajajoči novi beta različici, Sharp različico, ki bo izšla oktobra, pa skoraj vsekakor odpraviti ranljivost.
zanimivo, 10.9.5 potem ne ponuja posodobitve
Zahtevano ročno. http://support.apple.com/kb/DL1769
Ne, ne gre za napako v jedru unix v procesorju bash.
Bash ni del jedra in ni procesor.
Ali ni nevarno samo za strežnike? Se pravi, če uporabnik ne beži na slepo vsake neumnosti iz maila?
Bodite prepričani, da uporabite popravke.
Ne morem se spomniti neposrednega izkoriščanja v bolj običajni namizni namestitvi OS X (kar ne pomeni nič) ... vendar je povsem možno, da obstaja bližnjica nekje, kjer je programer sramežljivo olajšal življenje, medtem ko je mesanitiziral env. Včasih je v tem kontekstu omenjena izjemno pogosta uporaba DHCP, vendar nisem preučil, ali je to tudi v primeru OS X.
Še enkrat – zadnja oseba, ki nanese glazuro, je hack lama.