OS X Bash-update 1.0 vrijgegeven om het beveiligingsprobleem met Shellshock aan te pakken
Apple heeft een belangrijke beveiligingsupdate uitgebracht voor Mac-gebruikers, aangeduid als OS X Bash Update 1.0. De update lost een recent ontdekte kritieke beveiligingsfout op die bekend staat als "Shellshock" en die de bash-shell beïnvloedt, de standaardshell die wordt gebruikt door de Terminal-app van OS X, en wordt aanbevolen voor alle gebruikers, zelfs als ze de Terminal-app niet gebruiken., bash of opdrachtregel op de Mac.
De download is erg klein en weegt ongeveer 3, 5 MB, en de release-opmerkingen vermelden eenvoudig "Deze update herstelt een beveiligingsfout in de bash UNIX-shell." De beveiligingspatch is momenteel beschikbaar als drie afzonderlijke downloads voor OS X Mavericks 10.9.5, OS X Mountain Lion en OS X Lion. Een bash-patch voor OS X Yosemite Public Beta en Developer Preview-releases zijn nog niet beschikbaar.
Gebruikers kunnen het juiste DMG-bestand downloaden voor hun versie van OS X via de onderstaande links:
- Bash-update voor Mavericks (OS X 10.9.5+ vereist)
- Bash-update voor Mountain Lion (OS X 10.8.5)
- Bash-update voor Lion (OS X 10.7.5)
Houd er rekening mee dat Mac-gebruikers de nieuwste versies van hun respectievelijke releases moeten hebben om de update te installeren. Ondanks dat het een kleine update is, is het een goede gewoonte om een snelle back-up van je Mac te maken met Time Machine of je back-upsoftware naar keuze voordat je enige systeemupdates installeert.
Op dit moment is de OS X Bash-update alleen beschikbaar via de Apple Support-website, maar zal vermoedelijk in de nabije toekomst ook worden vrijgegeven via het Software Update-mechanisme van OS X.
Hoewel het onwaarschijnlijk is dat de meeste Mac-gebruikers zijn getroffen door een bepaalde inbreuk op de beveiliging, of het risico lopen van een schending van de Shellshock bash-exploit, is het toch een goed idee om kritieke beveiligingspatches als deze te installeren. Apple heeft MacRumors eerder de volgende verklaring aangeboden met betrekking tot de fout en wie deze zou kunnen beïnvloeden:
"Bash, een UNIX-opdrachtshell en -taal die is opgenomen in OS X, heeft een zwakheid waardoor onbevoegde gebruikers op afstand controle kunnen krijgen over kwetsbare systemen. Met OS X zijn systemen standaard veilig en niet blootgesteld aan externe exploits van bash, tenzij gebruikers geavanceerde UNIX-services configureren. We werken eraan om snel een software-update te leveren voor onze geavanceerde UNIX-gebruikers. "
De "geavanceerde UNIX-services" die Apple-verwijzingen vermoedelijk Remote Login en de SSH-server zijn, die extern beheer mogelijk maken, hoewel een gebruiker nog steeds een geldige login nodig heeft om toegang te krijgen tot een Mac, en een andere theoretische aanvalsvector door zwakke punten die mogelijk worden gevonden door de optionele OS X Apache-webserver, waarmee Mac-gebruikers webpagina's rechtstreeks vanaf hun Mac kunnen hosten. Nogmaals, het is vrij onwaarschijnlijk dat veel Mac-gebruikers gevaar lopen, zelfs als ze de Remote Login- of webserverfuncties van OS X gebruiken.
Hoe zit het met een Bash-patch voor Mac OS X Snow Leopard?
Voor Mac-gebruikers met OS X 10.6.8 Snow Leopard heb je een aantal opties om bash te patchen:
- Je kunt de nieuwste versie van bash handmatig installeren met gcc, homebrew of MacPorts
- Je kunt de bovenstaande Lion bash-patches handmatig installeren door het pkg-bestand uit de OS X Lion-versie te extraheren en de nieuwe bash-versies handmatig naar Snow Leopard te kopiëren, of het Distributies-bestand aan te passen zodat het op Snow Leopard kan worden geïnstalleerd
Op dit moment heeft Apple geen officiële bash-patch uitgebracht voor Snow Leopard, wat betekent dat 10.6 gebruikers zelf de nieuwe versie van bash moeten installeren.