OS X Bash Update 1.0 lanzado para abordar la falla de seguridad de Shellshock
Apple ha lanzado una importante actualización de seguridad para usuarios de Mac, denominada OS X Bash Update 1.0. La actualización aborda un descubrimiento reciente falla de seguridad crítica conocida como «Shellshock» que afecta al shell bash, el shell predeterminado utilizado por la aplicación Terminal en OS X, y es recomendado para la instalación por todos los usuarios incluso si no están usando la aplicación Terminal, bash o la línea de comandos en Mac.
La descarga es muy pequeña, pesa alrededor de 3,5 MB, y las notas de la versión simplemente dicen «Esta actualización corrige una falla de seguridad en el shell de UNX bash». El parche de seguridad está disponible actualmente como tres descargas independientes para OS X Mavericks 10.9.5, OS X Mountain Lion y OS X Lion. Un parche de bash para OS X Yosemite Public Beta y las versiones Developer Preview aún no están disponibles.
Los usuarios pueden descargar el archivo DMG apropiado para su versión de OS X a través de los enlaces a continuación:
Tenga en cuenta que los usuarios de Mac deben tener las últimas versiones de esas versiones para instalar la actualización. A pesar de ser una pequeña actualización, es una buena práctica hacer una copia de seguridad rápida de su computadora Mac con su Time Machine favorito o software de copia de seguridad antes de instalar cualquier actualización del sistema.
En este momento, la actualización de OS X Bash solo está disponible a través del sitio web de soporte de Apple, pero es probable que se lance a través del mecanismo de actualización de software de OS X en un futuro próximo.
Si bien es poco probable que la mayoría de los usuarios de Mac se hayan visto afectados por una determinada brecha de seguridad o corran el riesgo de sufrir una violación de Shellshock bash, sigue siendo una buena idea instalar parches de seguridad críticos como este. Apple ofreció previamente la siguiente declaración a MacRumors sobre el defecto y quiénes podrían verse afectados:
«Bash, un lenguaje y shell de comandos de UNIX incluido en OS X, tiene una debilidad que podría permitir a los usuarios no autorizados obtener el control remoto de los sistemas vulnerables. Con OS X, los sistemas son seguros por defecto y no están expuestos a exploits de bash remotos, a menos que los usuarios estén configurando servicios UNIX avanzados. Estamos trabajando para proporcionar una actualización de software rápida para nuestros usuarios avanzados de UNIX. «
Los «servicios UNIX avanzados» a los que se refiere Apple son probablemente el inicio de sesión remoto y el servidor SSH, que permiten la administración remota, aunque un usuario aún necesitaría una autenticación válida para acceder a una Mac y otro vector teórico de ataque a través de debilidades encontró posible el OS X Apache opcional. servidor, que permite a los usuarios de Mac alojar páginas web directamente desde su Mac. Nuevamente, es poco probable que muchos usuarios de Mac estén en riesgo, incluso si usan la función de inicio de sesión remoto o el servidor web OS X.
¿Pero un parche de Bash para Mac OS X Snow Leopard?
Para los usuarios de Mac que ejecutan OS X 10.6.8 Snow Leopard, tiene varias opciones de parche de bash:
- Puede instalar manualmente la última versión de bash con gcc, homebrew o MacPorts
- Puede instalar manualmente los parches de Lion bash anteriores extrayendo el archivo pkg de la versión de OS X Lion y copiando manualmente las nuevas versiones de bash en Snow Leopard, o modificando el archivo de distribuciones para permitir la instalación en Snow Leopard.
En este momento, Apple no ha lanzado un parche oficial de bash para Snow Leopard, lo que significa que los usuarios de 10.6 tendrán que instalar la nueva versión de bash ellos mismos.