OS X Bash Update 1.0 Släppt för att adressera Shellshock Security Flaw
Apple har släppt en viktig säkerhetsuppdatering för Mac-användare, märkt som OS X Bash Update 1.0. Uppdateringen hanterar en nyligen upptäckt kritisk säkerhetsfel som kallas "Shellshock" som påverkar bash-skalet, standardskalet som används av Terminal-appen för OS X och rekommenderas för alla användare att installera även om de inte använder Terminal-appen, bash eller kommandoraden på Mac.
Nedladdningen är väldigt liten och väger cirka 3, 5 MB, och släppningsanvisningarna anger bara "Denna uppdatering åtgärdar en säkerhetsfel i UNH-skalet." Säkerhetsuppdateringen finns för närvarande som tre separata nedladdningar för OS X Mavericks 10.9.5, OS X Mountain Lion och OS X Lion. En bashatch för OS X Yosemite Public Beta och Developer Preview-utgåvor är ännu inte tillgängliga.
Användare kan ladda ner lämplig DMG-fil för deras version av OS X via länkarna nedan:
- Bash Update för Mavericks (OS X 10.9.5+ krävs)
- Bash uppdatering för Mountain Lion (OS X 10.8.5)
- Bash Update for Lion (OS X 10.7.5)
Observera att Mac-användare måste vara på de senaste versionerna av sina respektive utgåvor för att installera uppdateringen. Trots att det är en liten uppdatering är det bra att göra en snabb säkerhetskopiering av din Mac med Time Machine eller din backupprogramvara, innan du installerar systemuppdateringar.
För närvarande är OS X Bash Update endast tillgänglig via Apples supportwebbplats, men förmodligen kommer den också att släppas via mjukvaruuppdateringsmekanismen för OS X inom en snar framtid.
Även om det är osannolikt att de flesta Mac-användare har påverkats av ett visst säkerhetsbrott eller riskerar att bryta mot Shellshock-bash-exploitatet, är det fortfarande en bra idé att installera viktiga säkerhetsfläckar så här. Apple erbjöd tidigare följande uttalande till MacRumors om felet och vem det kunde påverka:
"Bash, ett UNIX-kommandokal och språk som ingår i OS X, har en svaghet som kan göra det möjligt för obehöriga användare att få fjärrkontroll över sårbara system. Med OS X är system säkerhet som standard och inte utsatt för fjärrutnyttjande av bash, om inte användarna konfigurerar avancerade UNIX-tjänster. Vi arbetar för att snabbt tillhandahålla en mjukvaruuppdatering för våra avancerade UNIX-användare. "
De "avancerade UNIX-tjänsterna" som Apple referenser är förmodligen fjärrloggning och SSH-servern, vilket möjliggör fjärradministration, men en användare skulle fortfarande behöva en giltig inloggning för att få tillgång till en Mac och en annan teoretisk attackvektor genom svagheter kunde uppnås genom den valfria OS X Apache webbservern, som låter Mac-användare värd för webbsidor direkt från sin Mac. Återigen är det ganska osannolikt att många Mac-användare har riskerat, även om de använder fjärrloggnings- eller webbserverfunktionerna i OS X.
Vad sägs om en Bash patch för Mac OS X Snow Leopard?
För Mac-användare som kör OS X 10.6.8 Snow Leopard, har du några alternativ att lappa bash:
- Du kan manuellt installera den senaste versionen av bash med gcc, homebrew eller MacPorts
- Du kan manuellt installera ovanstående Lion Bash-patchar genom att antingen extrahera PKG-filen från OS X Lion-versionen och manuellt kopiera de nya bashversionerna till Snow Leopard eller ändra Distributionsfilen för att tillåta installation på Snow Leopard
För närvarande släppte Apple inte en officiell bashatch för Snow Leopard, vilket innebär att 10, 6 användare måste installera den nya versionen av bash själva.