A equipe de segurança da Red Hat, que desenvolve a distribuição Linux de mesmo nome, descobriu uma falha crítica no UNIX, o sistema subjacente ao Linux e ao OS X. Uma falha crítica no processador bater em teoria, permite que o invasor assuma o controle total do computador comprometido. Este não é um bug novo, pelo contrário, já existe em sistemas UNIX há vinte anos.
Bash é um processador shell que executa comandos inseridos na linha de comando, a interface básica do Terminal no OS X e seu equivalente no Linux. Os comandos podem ser inseridos manualmente pelo usuário, mas alguns aplicativos também podem usar o processador. O ataque não precisa ser direcionado diretamente ao bash, mas a qualquer aplicativo que o utilize. De acordo com especialistas em segurança, esse bug chamado Shellshock é mais perigoso do que Erro SSL da biblioteca Heartbleed, que afetou grande parte da internet.
Segundo a Apple, os usuários que usam as configurações padrão do sistema devem estar seguros. A empresa comentou para o servidor iMore do seguinte modo:
Uma grande parte dos usuários do OS X não corre risco com a vulnerabilidade bash recentemente descoberta. Há um bug no bash, o processador de comandos Unix e a linguagem incluída no OS X, que pode permitir que usuários não autorizados obtenham acesso para controlar remotamente um sistema vulnerável. Os sistemas OS X são seguros por padrão e não são vulneráveis a explorações remotas do bug do bash, a menos que o usuário tenha configurado serviços Unix avançados. Estamos trabalhando para fornecer uma atualização de software para nossos usuários Unix avançados o mais rápido possível.
No servidor Stackexchange ele apareceu instruções, como os usuários podem testar vulnerabilidades em seu sistema e como corrigir manualmente o bug por meio do terminal. Você também encontrará uma extensa discussão com o post.
O impacto do Shellshock é teoricamente enorme. Você pode encontrar Unix não apenas no OS X e em computadores com uma das distribuições Linux, mas também em um número considerável de servidores, elementos de rede e outros eletrônicos.
Artigo interessante. Obrigado pela informação
Alguém pode escrever aqui quando a Apple o selou? O erro já foi corrigido..
Por acaso o Android não tem um kernel Unix?
Assim como iOS.
No entanto, este não é um problema dos kernels unix, mas do bash
Erro logo no título. Não é o Unix que sofre com o bug, é o bash. O Unix não precisa incluir o bash, então não é culpa do Unix.
Android é Linux com Dalvik JVM. Portanto, o kernel é Linux, incluindo utilitários como o Bash.
Mas esse problema é um tanto inflado. Basicamente não tem impacto no OS X, só é sério para servidores Linux que usam Bash para executar daemons como Apache, etc.
Mas mesmo isso é bastante incomum, por exemplo, no Debian e no Ubuntu, o Bash não é usado por padrão para serviços de servidor, mas sim o Dash, e não é afetado.
Em vários roteadores, APs WiFI, etc, é explicitamente improvável, porque eles tendem a ter uma versão simplificada do Linux onde o Bash não cabe, usando Busybox ou zsh, etc.
Então eu acho que é uma espécie de bolha da mídia.
Dalvik não é uma JVM.
“Kernel é Linux incluindo utilitários” não faz sentido.
O Android geralmente não inclui o bash ou outros utilitários GNU comuns.
A coisa mais importante (!): O problema não é se o Apache ou outro servidor for iniciado pelo bash, mas se o próprio bash estiver em execução.
Não se envolva muito com o Zsh, é mais provável que ele seja usado de forma interativa.
Não é uma bolha.
Mas, caso contrário, você está certo.
A atualização saiu