Apple geeft patch voor Shell Shock bug vrij; handmatig installeren nodig

10 reacties

De vorige week ontdekte Shell Shock bug maakte het voor kwaadwillenden mogelijk om de controle over Linux- en OS X-apparaten over te nemen. De impact op de gemiddelde Mac-gebruiker was echter laag. Toch heeft Apple een patch vrijgegeven die het lek dicht.

De patch moet handmatig geïnstalleerd worden en is beschikbaar voor OS X Mavericks, OS X Mountain Lion en OS X Lion. Voor de beta van Yosemite is nog geen patch beschikbaar. Het oude maar geliefde Snow Leopard blijft ook kwetsbaar. Mogelijk komt de patch later ook binnen via software-update.
Schermafbeelding 2014-09-30 om 14.48.27
Shell Shock is de naam voor een bug in bash, het achterliggende component waar de terminal onder OS X en Linux gebruik van maakt. Door een programmeerfout die al jaren in de software zat, was het voor kwaadwillenden mogelijk om commando’s op de commandline uit te voeren en daarmee de controle over een computer vanaf afstand over te nemen.

Om misbruik te kunnen maken van de Shell Shock bug is wel een ingang nodig, vaak is dit een webserver of ssh-server. De gemiddelde Mac-gebruiker draait geen web- of terminal-server. Als deze aan zouden staan, zou een router directe toegang alsnog verhinderen. Linux wordt vaak gebruikt voor publieke webservers, daarom was dat platform een stuk kwetsbaarder.

Directe links 

Via: OMT Community

Reacties

10 reacties
  • Profielfoto
    rabuto

    reeds gedaan

  • Profielfoto
    Dutch_Muscle

    Snow Leopard is EOL. Daar komt waarschijnlijk geen patch meer voor.

  • Profielfoto
    eagle1972

    Unofficially Fix Snowleopard

    Hierboven een link naar een patch voor Snow Leopard, misschien de moeite waard?

  • Profielfoto
    wwrensink

    Ik wacht wel even op de Mac App Store-update.

  • Profielfoto
    YoupLotgerink

    Bij mij loopt het installatie programma constant vast..

  • Profielfoto
    farl4web

    Bedankt voor de linkjes!

  • Profielfoto
    PBM

    OpMacRumors wordt aangegeven dat de GM en de beta van Yosemite wel de patch bevatten. Deze zijn nu dus ook veilig.

  • Profielfoto
    iep

    Het gaat hier niet om 1 bug, het gaat hier om meerdere bugs en er lijken er steeds meer te worden ontdekt. Dit is dus zeker geen fix voor shellshock, het is een fix voor een aantal shellshock bugs. Waarschijnlijk dat deze daarom ook niet in de software update te zien is en je ‘m van de Apple site moet downloaden.

    Hetzelfde verhaal gaat op voor Yosemite.

    Ook goed om te weten is dat Apple achterloopt in Bash release. De patch brengt Bash naar versie 3.2.53 terwijl op dit moment 3.2.54 al uit is (deze lost een andere shellshock bug op). Volgens het volgende artikel heeft Apple echter wel de patch van versie 3.2.54 in hun update zitten: http://alblue.bandlem.com/2014/09/bash-remote-vulnerability.html

  • Profielfoto
    _Jordy_

    Voor de beta van Yosemite is nog geen patch beschikbaar.

    In public beta 4 zit de nieuwe bash versie: 3.2.53(1)-release
    Geen idee hoe dat met de voorgaande beta’s zat.

  • Profielfoto
    lekkerduidelijk

    Het is mij een raadsel waarom ze niet eindelijk komen met een update naar Bash 4.x.