Michal Ždanský Apple je jutros objavio zakrpu opasne Shellshock ranjivosti u bash terminalskoj ljusci, što je hipotetski omogućilo potencijalnom napadaču da dobije potpunu kontrolu nad ranjivim sustavima, kako na Linuxu tako i na OS X. Apple je prije nekoliko dana izjavio da je većina korisnika koji koriste zadane postavke sigurna jer ne koriste napredne unix usluge. Istodobno je obećao brzo puštanje zakrpe. U međuvremenu se pojavio i on neslužbeni način, kako testirati ranjivost sustava i popraviti je.
Danas svi korisnici mogu na jednostavan način popraviti ranjivost jer je Apple izdao zakrpu za svoje najnovije operativne sustave: OS X Mavericks, Mountain Lion i Lion. Ažuriranje se može instalirati putem izbornika Ažuriranje softvera u gornjem izborniku (ikona Apple) ili u Mac App Storeu, gdje će se zakrpa pojaviti među ostalim ažuriranjima. Najnoviji operativni sustav OS X Yosemite, koji je još u beta verziji, još nije dobio zakrpu, no Apple će ga vjerojatno objaviti u nadolazećoj novoj beta verziji, a Sharp verzija, čiji je izlazak u listopadu, skoro svakako popraviti ranjivost.
zanimljivo, 10.9.5 onda ne nudi ažuriranje
Ručno potrebno. http://support.apple.com/kb/DL1769
Ne, to nije greška u unix kernelu u bash procesoru.
Bash nije dio kernela i nije procesor.
Nije li opasno samo za poslužitelje? Odnosno, ako korisnik slijepo ne trči svaku glupost s maila?
Obavezno primijenite popravke.
Ne mogu se sjetiti izravnog iskorištavanja u uobičajenijoj instalaciji OS X za radnu površinu (što ne znači ništa)... ali sasvim je moguće da negdje postoji prečac gdje je programer sramežljivo olakšao život dok je mesanitizirao env. Ponekad se u ovom kontekstu spominje iznimno česta upotreba DHCP-a, ali nisam proučavao je li to slučaj i s OS X.
Još jednom - posljednja osoba koja će nanijeti glazuru je hack llama.