Apple ha rilasciato un importante aggiornamento per la sicurezza per gli utenti Mac, etichettato come OS X Bash Update 1.0. L’aggiornamento risolve una falla di sicurezza critica di recente scoperta nota come “Shellshock” che influisce sulla shell bash, la shell predefinita utilizzata dall’app Terminal di OS X ed è consigliata a tutti gli utenti per l’installazione anche se non utilizzano l’app Terminal , bash o riga di comando su Mac.
Il download è molto piccolo, pesa circa 3,5 MB e le note di rilascio indicano semplicemente “Questo aggiornamento corregge un difetto di sicurezza nella shell UNIX bash.” La patch di sicurezza è attualmente disponibile come tre download separati per OS X Mavericks 10.9.5, OS X Mountain Lion e OS X Lion. Una patch bash per OS X Yosemite Public Beta e Developer Preview non sono ancora disponibili.
Gli utenti possono scaricare il file DMG appropriato per la loro versione di OS X tramite i collegamenti seguenti:
- Bash Update for Mavericks (richiesto OS X 10.9.5+)
- Aggiornamento Bash per Mountain Lion (OS X 10.8.5)
- Bash Update per Lion (OS X 10.7.5)
Si noti che gli utenti Mac devono essere sulle ultime versioni delle rispettive versioni per installare l’aggiornamento. Nonostante sia un piccolo aggiornamento, è buona norma eseguire un backup rapido del tuo Mac con Time Machine o il tuo software di backup preferito prima di installare qualsiasi aggiornamento di sistema.
Al momento, OS X Bash Update è disponibile solo tramite il sito Web del supporto Apple, ma presumibilmente verrà rilasciato anche tramite il meccanismo di aggiornamento software di OS X nel prossimo futuro.
Anche se è improbabile che la maggior parte degli utenti Mac sia stata colpita da una particolare violazione della sicurezza, o siano a rischio di violazione dall’uso di shellshock, è comunque una buona idea installare patch di sicurezza critiche come questa. Apple ha in precedenza offerto a MacRumors la seguente dichiarazione in merito al difetto e a chi potrebbe avere impatto:
I “servizi UNIX avanzati” che i riferimenti Apple sono presumibilmente Login remoto e il server SSH, che consentono l’amministrazione remota, anche se un utente avrebbe comunque bisogno di un accesso valido per accedere ad un Mac e un altro vettore di attacco teorico attraverso le debolezze che si possono trovare attraverso il server Web OS X Apache opzionale, che consente agli utenti Mac di ospitare pagine Web direttamente dal proprio Mac. Ancora una volta, è abbastanza improbabile che molti utenti Mac siano stati a rischio, anche se utilizzano le funzionalità Accesso remoto o server Web di OS X.
Che ne dici di una patch Bash per Mac OS X Snow Leopard?
Per gli utenti Mac con OS X 10.6.8 Snow Leopard, hai alcune opzioni per applicare patch bash:
- Puoi installare manualmente la versione più recente di bash con gcc, homebrew o MacPorts
- È possibile installare manualmente le patch di bash Lion di cui sopra estraendo il file pkg dalla versione di OS X Lion e copiando manualmente le nuove versioni di bash su Snow Leopard, o modificando il file Distribuzioni per consentire l’installazione su Snow Leopard
Al momento, Apple non ha rilasciato una patch bash ufficiale per Snow Leopard, il che significa che 10,6 utenti dovranno installare la nuova versione di bash.
