OS X Bash Update 1.0 Rilasciato per risolvere il problema di sicurezza di Shellshock

Apple ha rilasciato un importante aggiornamento per la sicurezza per gli utenti Mac, etichettato come OS X Bash Update 1.0. L'aggiornamento risolve una falla di sicurezza critica di recente scoperta nota come "Shellshock" che influisce sulla shell bash, la shell predefinita utilizzata dall'app Terminal di OS X ed è consigliata a tutti gli utenti per l'installazione anche se non utilizzano l'app Terminal, bash o riga di comando su Mac.


Il download è molto piccolo, pesa circa 3, 5 MB e le note di rilascio indicano semplicemente "Questo aggiornamento corregge un difetto di sicurezza nella shell UNIX bash." La patch di sicurezza è attualmente disponibile come tre download separati per OS X Mavericks 10.9.5, OS X Mountain Lion e OS X Lion. Una patch bash per OS X Yosemite Public Beta e Developer Preview non sono ancora disponibili.

Gli utenti possono scaricare il file DMG appropriato per la loro versione di OS X tramite i collegamenti seguenti:

  • Bash Update for Mavericks (richiesto OS X 10.9.5+)
  • Aggiornamento Bash per Mountain Lion (OS X 10.8.5)
  • Bash Update per Lion (OS X 10.7.5)

Si noti che gli utenti Mac devono essere sulle ultime versioni delle rispettive versioni per installare l'aggiornamento. Nonostante sia un piccolo aggiornamento, è buona norma eseguire un backup rapido del tuo Mac con Time Machine o il tuo software di backup preferito prima di installare qualsiasi aggiornamento di sistema.

Al momento, OS X Bash Update è disponibile solo tramite il sito Web del supporto Apple, ma presumibilmente verrà rilasciato anche tramite il meccanismo di aggiornamento software di OS X nel prossimo futuro.

Anche se è improbabile che la maggior parte degli utenti Mac sia stata colpita da una particolare violazione della sicurezza, o siano a rischio di violazione dall'uso di shellshock, è comunque una buona idea installare patch di sicurezza critiche come questa. Apple ha in precedenza offerto a MacRumors la seguente dichiarazione in merito al difetto e a chi potrebbe avere impatto:

"Bash, una shell dei comandi UNIX e una lingua inclusa in OS X, presenta un punto debole che potrebbe consentire agli utenti non autorizzati di ottenere in remoto il controllo dei sistemi vulnerabili. Con OS X, i sistemi sono sicuri per impostazione predefinita e non sono esposti agli exploit di bash in remoto, a meno che gli utenti non configurino servizi UNIX avanzati. Stiamo lavorando per fornire rapidamente un aggiornamento software per i nostri utenti UNIX avanzati. "

I "servizi UNIX avanzati" che i riferimenti Apple sono presumibilmente Login remoto e il server SSH, che consentono l'amministrazione remota, anche se un utente avrebbe comunque bisogno di un accesso valido per accedere ad un Mac e un altro vettore di attacco teorico attraverso le debolezze che si possono trovare attraverso il server Web OS X Apache opzionale, che consente agli utenti Mac di ospitare pagine Web direttamente dal proprio Mac. Ancora una volta, è abbastanza improbabile che molti utenti Mac siano stati a rischio, anche se utilizzano le funzionalità Accesso remoto o server Web di OS X.

Che ne dici di una patch Bash per Mac OS X Snow Leopard?

Per gli utenti Mac con OS X 10.6.8 Snow Leopard, hai alcune opzioni per applicare patch bash:

  • Puoi installare manualmente la versione più recente di bash con gcc, homebrew o MacPorts
  • È possibile installare manualmente le patch di bash Lion di cui sopra estraendo il file pkg dalla versione di OS X Lion e copiando manualmente le nuove versioni di bash su Snow Leopard, o modificando il file Distribuzioni per consentire l'installazione su Snow Leopard

Al momento, Apple non ha rilasciato una patch bash ufficiale per Snow Leopard, il che significa che 10, 6 utenti dovranno installare la nuova versione di bash.