Michal Ždanský Apple a lansat un patch în această dimineață vulnerabilități periculoase Shellshock în shell-ul terminalului bash, care a permis ipotetic unui posibil atacator să obțină control complet asupra sistemelor vulnerabile, atât pe Linux, cât și pe OS X. Apple a declarat în urmă cu câteva zile că majoritatea utilizatorilor care folosesc setările implicite sunt în siguranță, deoarece nu folosesc sisteme avansate. servicii unix. În același timp, el a promis o eliberare rapidă a patch-ului. Între timp, a apărut și el mod neoficial, cum să testați vulnerabilitatea sistemului și să o remediați.
Astăzi, toți utilizatorii pot remedia vulnerabilitatea într-un mod simplu, deoarece Apple a lansat un patch pentru cele mai recente sisteme de operare: OS X Mavericks, Mountain Lion și Lion. Actualizarea poate fi instalată fie prin meniul Actualizare software din meniul de sus (pictograma Apple), fie în Mac App Store, unde patch-ul va apărea printre alte actualizări. Cel mai recent sistem de operare OS X Yosemite, care este încă în versiune beta, nu a primit încă un patch, dar Apple îl va lansa probabil în viitoarea nouă versiune beta, iar versiunea sharp, care este programată pentru lansare în octombrie, va aproape sigur că vulnerabilitatea este rezolvată.
interesant, 10.9.5 atunci nu oferă actualizarea
Se cere manual. http://support.apple.com/kb/DL1769
Nu, nu este o eroare în nucleul Unix din procesorul bash.
Bash nu face parte din nucleu și nu este un procesor.
Nu este periculos doar pentru servere? Adică dacă utilizatorul nu execută orbește toate prostiile din e-mail?
Asigurați-vă că aplicați corecțiile.
Nu mă pot gândi la o exploatare directă într-o instalare desktop OS X mai comună (ceea ce nu înseamnă nimic)... dar este foarte posibil să existe o comandă rapidă undeva unde un programator a făcut viața mai ușoară în timp ce mesanitiza mediul. Uneori se menționează utilizarea extrem de comună a DHCP în acest context, dar nu am studiat dacă acesta este și cazul OS X.
Încă o dată - ultima persoană care a aplicat glazura este hack llama.