Apple aveva promesso una patch per la grave vulnerabilità scoperta la scorsa settimana in Bash, nonostante il rischio sia limitato per gli utenti che non usano i servizi UNIX avanzati. Ieri sera, l’azienda di Cupertino ha quindi rilasciato un aggiornamento per OS X che risolve il bug Shellshock.
La vulnerabilità individuata nella shell Bash potrebbe consentire un attacco remoto attraverso script contenenti comandi arbitrari. Gli esperti di sicurezza hanno chiarito che il rischio maggiore riguarda i server web, in quanto un malintenzionato potrebbe prendere il controllo totale del sistema e causare enormi danni. Gli utenti privati invece non dovrebbero subire attacchi, ma è comunque consigliabile installare gli aggiornamenti distribuiti dalle software house. Apple ha chiuso la falla di sicurezza, aggiungendo un’ulteriore livello di protezione.
Il problema è stato risolto mediante il miglioramento del parsing delle variabili di ambiente. Oltre ad effettuare il reset del parser, l’aggiornamento introduce un nuovo namespace per le funzioni esportate. I nomi di tutte le variabili di ambiente devono ora avere il prefisso “__BASH_FUNC()” per impedire il passaggio di funzioni indesiderate via header HTTP.
La patch è disponibile per OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 e OS X Mavericks 10.9.5. Dopo aver installato l’update è possibile verificare la versione di Bash con il seguendo comando (via Terminale):
bash –version
Sullo schermo dovrebbero apparire le seguenti risposte:
- OS X Mavericks: GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin13)
- OS X Mountain Lion: GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin12)
- OS X Lion: GNU bash, version 3.2.53(1)-release (x86_64-apple-darwin11)