Michal Žďánsky Apple k dnešnému ránu vydal záplatu nebezpečné zraniteľnosti Shellshock v terminálovom shellu bash, ktorá hypoteticky umožňovala prípadnému útočníkovi úplne získať kontrolu nad zraniteľnými systémami, a to ako na Linuxe, tak v OS X. Apple pred niekoľkými dňami vyhlásil, že väčšina užívateľov využívajúcich východiskové nastavenia sú v bezpečí, pretože v predvolenom stave nepoužívajú pokročilých unixové služby. Zároveň prisľúbil rýchle vydanie záplaty. Medzitým sa objavil aj neoficiálny spôsob, ako otestovať zraniteľnosť systému a opraviť ju.
Dnes môžu všetci používatelia zraniteľnosť opraviť jednoduchou cestou, Apple totiž vydal záplatu pre svoje posledné operačné systémy: OS X Mavericks, Mountain Lion a Lion. Aktualizáciu je možné nainštalovať buď prostredníctvom ponuky Aktualizácia softvéru v hornom menu (ikona Applu) alebo v Mac App Store, kde sa záplata objaví medzi ostatnými aktualizáciami. Najnovší operačný systém OS X Yosemite, ktorý je zatiaľ v betaverzii, sa ešte záplaty nedočkal, Apple ju však zrejme vydá v nadchádzajúcej novej betaverzii a ostrá verzia, ktorej vydanie je plánované na október, už bude mať zraniteľnosť celkom iste opravenú.
zajimave, 10.9.5 zatiaľ aktualizáciu neponúka
Nutné ručne. http://support.apple.com/kb/DL1769
Nie, nie je to chyba v unixovom jadre v procesore bash.
Bash nie je súčasťou jadra a nie je to procesor.
Nie je nebezpečná iba pre servery? Teda pokiaľ užívateľ slepo nespúšťa každú blbosť z emailu?
Určite aplikovať opravy.
V nejakej bežnejšej desktopovej inštalácii OS X ma (čo nič neznamená) nenapadá priame zneužitie… ale je dosť dobre možné, že niekde je nejaká skratka, kde si programátor bashom zjednodušil život, a pritom mesanitizoval env. Niekedy sa v tej súvislosti spomína napríklad naostro bežné použitie DHCP, ale či to je prípad aj OS X som neštudoval.
Ešte raz – posledný, kto aplikuje opavu je hacknutá lama.