OS X Bash Update 1.0 Utgitt for å Adresse Shellshock Security Flaw

Apple har gitt ut en viktig sikkerhetsoppdatering for Mac-brukere, merket som OS X Bash Update 1.0. Oppdateringen tar opp en nylig oppdaget kritisk sikkerhetsfeil kjent som "Shellshock" som påvirker bash-skallet, standardskallet som brukes av Terminal-appen til OS X, og anbefales for alle brukere å installere, selv om de ikke bruker Terminal-appen, bash eller kommandolinje på Mac.


Nedlastingen er svært liten og veier rundt 3, 5 MB, og utgivelsesnotatene angir bare "Denne oppdateringen løser en sikkerhetsfeil i UNH-skallet." Sikkerhetsoppdateringen er nå tilgjengelig som tre separate nedlastinger for OS X Mavericks 10.9.5, OS X Mountain Lion og OS X Lion. En bash patch for OS X Yosemite Public Beta og Developer Preview utgivelser er ikke tilgjengelig ennå.

Brukere kan laste ned riktig DMG-fil for deres versjon av OS X via linkene under:

  • Bash Update for Mavericks (OS X 10.9.5+ påkrevd)
  • Bash oppdatering for Mountain Lion (OS X 10.8.5)
  • Bash Update for Lion (OS X 10.7.5)

Merk at Mac-brukere må være på de nyeste versjonene av sine respektive utgivelser for å installere oppdateringen. Til tross for at det er en liten oppdatering, er det god praksis å foreta en rask sikkerhetskopiering av Mac-en din med Time Machine eller din reserveprogramvare, før du installerer systemoppdateringer.

For øyeblikket er OS X Bash Update bare tilgjengelig via Apple Support-nettsiden, men vil nok også bli utgitt via programvareoppdateringsmekanismen for OS X i nær fremtid.

Selv om det er lite sannsynlig at de fleste Mac-brukere har blitt påvirket av en bestemt sikkerhetsbrudd, eller er utsatt for brudd fra Shellshock-bash-utnytningen, er det fortsatt en god ide å installere viktige sikkerhetsoppdateringer som dette. Apple tilbød tidligere følgende uttalelse til MacRumors om feilen og hvem den kunne påvirke:

"Bash, et UNIX-kommandoskall og språk som er inkludert i OS X, har en svakhet som kan tillate uautoriserte brukere å få fjernkontroll over sårbare systemer. Med OS X er systemene trygge som standard og ikke utsatt for ekstern utnyttelse av bash, med mindre brukere konfigurerer avanserte UNIX-tjenester. Vi jobber med å raskt gi en programvareoppdatering til våre avanserte UNIX-brukere. "

De "avanserte UNIX-tjenestene" som Apple referanser er antagelig ekstern pålogging og SSH-serveren, som tillater ekstern administrasjon, selv om en bruker fortsatt vil ha et gyldig login for å få tilgang til en Mac, og en annen teoretisk angrepvektor gjennom svakheter finner mulig gjennom Den valgfrie OS X Apache-webserveren, som lar Mac-brukere vert for websider direkte fra Mac-en. Igjen er det ganske usannsynlig at mange Mac-brukere har vært i fare, selv om de bruker funksjonene for ekstern pålogging eller webserver i OS X.

Hva med en Bash-oppdatering for Mac OS X Snow Leopard?

For Mac-brukere som kjører OS X 10.6.8 Snow Leopard, har du noen muligheter til å lappere bash:

  • Du kan manuelt installere den nyeste versjonen av bash med gcc, homebrew eller MacPorts
  • Du kan manuelt installere de ovennevnte Lion bash-patchene ved å enten pakke ut pkg-filen fra OS X Lion-versjonen og manuelt kopiere de nye bash-versjonene til Snow Leopard, eller endre distribusjonsfilen for å tillate installasjon på Snow Leopard

I øyeblikket lanserte Apple ikke en offisiell bashatcher for Snow Leopard, noe som betyr at 10, 6 brukere må installere den nye versjonen av bash selv.