Michal Zadanský A Apple lançou um patch esta manhã vulnerabilidades perigosas do Shellshock no shell do terminal bash, que hipoteticamente permitiu que um possível invasor obtivesse controle total sobre sistemas vulneráveis, tanto no Linux quanto no OS X. A Apple declarou há alguns dias que a maioria dos usuários que usam as configurações padrão estão seguros porque não estão usando recursos avançados serviços unix. Ao mesmo tempo, ele prometeu um lançamento rápido do patch. Nesse ínterim, ele também apareceu maneira não oficial, como testar a vulnerabilidade do sistema e corrigi-la.
Hoje, todos os usuários podem corrigir a vulnerabilidade de forma simples, pois a Apple lançou um patch para seus sistemas operacionais mais recentes: OS X Mavericks, Mountain Lion e Lion. A atualização pode ser instalada através do menu Atualização de Software no menu superior (ícone da Apple) ou na Mac App Store, onde o patch aparecerá entre outras atualizações. O sistema operacional mais recente OS X Yosemite, que ainda está em versão beta, ainda não recebeu um patch, mas a Apple provavelmente o lançará na próxima nova versão beta, e a versão afiada, com lançamento previsto para outubro, quase certamente terá a vulnerabilidade corrigida.
interessante, 10.9.5 então não oferece a atualização
Necessário manualmente. http://support.apple.com/kb/DL1769
Não, não é um bug no kernel unix do processador bash.
Bash não faz parte do kernel e não é um processador.
Não é perigoso apenas para servidores? Isto é, se o usuário não executar cegamente todas as bobagens do e-mail?
Certifique-se de aplicar as correções.
Não consigo pensar em uma exploração direta em uma instalação de desktop OS X mais comum (o que não significa nada) ... mas é bem possível que exista um atalho em algum lugar onde um programador timidamente facilitou a vida enquanto mesanitizava o ambiente. Às vezes, o uso extremamente comum de DHCP é mencionado neste contexto, mas não estudei se esse também é o caso do OS X.
Mais uma vez - a última pessoa a aplicar a cobertura é a lhama hack.