OS X Bash Update 1.0 เปิดตัวสู่ที่อยู่ของ Shellshock Security Flaw

แอ็ปเปิ้ลได้เปิดตัวการปรับปรุงความปลอดภัยที่สำคัญสำหรับผู้ใช้ Mac ซึ่งมีชื่อว่า OS X Bash Update 1.0 การอัพเดตจะกล่าวถึงข้อบกพร่องด้านความปลอดภัยที่สำคัญที่เพิ่งค้นพบซึ่งเรียกว่า "Shellshock" ซึ่งมีผลต่อเปลือก bash ซึ่งเป็นเชลล์มาตรฐานที่ใช้โดยแอพ Terminal ของ OS X และขอแนะนำให้ผู้ใช้ทุกคนติดตั้งแม้ว่าจะไม่ได้ใช้แอพ Terminal, bash หรือบรรทัดคำสั่งบนเครื่อง Mac


การดาวน์โหลดมีขนาดเล็กมากโดยมีน้ำหนักประมาณ 3.5MB และบันทึกย่อจะระบุว่า "การอัปเดตนี้แก้ไขข้อบกพร่องด้านความปลอดภัยในเปลือก UNIX ของ bash" การดาวน์โหลดโปรแกรมปรับปรุงความปลอดภัยมีให้ดาวน์โหลดเป็นสามแบบสำหรับ OS X Mavericks 10.9.5, OS X Mountain Lion และ OS X Lion ไม่สามารถใช้แพล็ตช์ bash สำหรับ OS X Yosemite Public Beta และ Developer Preview ได้

ผู้ใช้สามารถดาวน์โหลดไฟล์ DMG ที่เหมาะสมสำหรับ OS X เวอร์ชันดังกล่าวได้จากลิงก์ด้านล่าง:

  • อัพเดต Bash สำหรับ Mavericks (ต้องใช้ OS X 10.9.5 ขึ้นไป)
  • การอัปเดต Bash สำหรับ Mountain Lion (OS X 10.8.5)
  • อัพเดท Bash สำหรับ Lion (OS X 10.7.5)

โปรดทราบว่าผู้ใช้ Mac ต้องเป็นรุ่นล่าสุดของรุ่นที่เกี่ยวข้องเพื่อติดตั้งการปรับปรุง แม้จะเป็นข้อมูลอัปเดตเล็ก ๆ แต่การปฏิบัติที่ดีในการทำสำรองข้อมูล Mac ของคุณอย่างรวดเร็วด้วย Time Machine หรือซอฟต์แวร์สำรองข้อมูลที่คุณเลือกก่อนติดตั้งการอัปเดตระบบใด ๆ

ในขณะนี้การอัปเดต OS X Bash สามารถใช้ได้เฉพาะผ่านทางเว็บไซต์สนับสนุนของ Apple แต่น่าจะมีการเผยแพร่ผ่านทางกลไกการอัปเดตซอฟต์แวร์ของ OS X ในอนาคตอันใกล้

แม้ว่าผู้ใช้ Mac ส่วนใหญ่จะไม่ได้รับผลกระทบจากการละเมิดความปลอดภัยใด ๆ หรือมีความเสี่ยงที่จะเกิดการละเมิดจาก ShellShock bash exploit แต่ก็ยังควรติดตั้งแพทช์ด้านความปลอดภัยที่สำคัญเช่นนี้ แอปเปิ้ลก่อนหน้านี้นำเสนอคำแถลงต่อไปนี้แก่ MacRumors เกี่ยวกับข้อบกพร่องและผลกระทบที่อาจเกิดขึ้น:

"Bash เปลือกคำสั่งของ UNIX และภาษาที่รวมอยู่ใน OS X มีจุดอ่อนที่อาจทำให้ผู้ไม่ได้รับอนุญาตสามารถควบคุมระบบที่มีช่องโหว่จากระยะไกลได้ ด้วยระบบปฏิบัติการ OS X ระบบจะปลอดภัยโดยดีฟอลต์และไม่ได้รับผลกระทบจากการโจมตีระยะไกลของ bash เว้นแต่ผู้ใช้จะกำหนดค่าบริการ UNIX ขั้นสูง เรากำลังดำเนินการเพื่อให้บริการอัปเดตซอฟต์แวร์สำหรับผู้ใช้ UNIX ขั้นสูงของเราอย่างรวดเร็ว "

"บริการ UNIX ขั้นสูง" ที่อ้างอิงจาก Apple อาจเป็น Remote Login และเซิร์ฟเวอร์ SSH ซึ่งอนุญาตให้ใช้การดูแลระบบระยะไกลแม้ว่าผู้ใช้จะต้องเข้าสู่ระบบที่ถูกต้องเพื่อเข้าถึง Mac และอีกเว็กเตอร์โจมตีทางทฤษฎีก็คือจุดอ่อนที่เป็นไปได้ เซิร์ฟเวอร์เว็บ OS X Apache ที่เป็นตัวเลือกซึ่งช่วยให้ผู้ใช้ Mac สามารถโฮสต์หน้าเว็บได้โดยตรงจาก Mac อีกครั้งค่อนข้างเป็นไปได้ยากที่ผู้ใช้ Mac จำนวนมากจะมีความเสี่ยงแม้ว่าจะใช้คุณลักษณะการเข้าสู่ระบบระยะไกลหรือเว็บเซิร์ฟเวอร์ของ OS X

สิ่งที่เกี่ยวกับแพทช์ Bash สำหรับ Mac OS X Snow Leopard?

สำหรับผู้ใช้ Mac ที่ใช้ระบบปฏิบัติการ OS X 10.6.8 Snow Leopard คุณมีทางเลือกในการแก้ไขปัญหา bash:

  • คุณสามารถติดตั้ง bash รุ่นใหม่ล่าสุดด้วย gcc, homebrew หรือ MacPorts ได้ด้วยตนเอง
  • คุณสามารถติดตั้ง Lion bash patch ข้างต้นได้ด้วยตนเองโดยการแยกไฟล์ pkg ออกจาก OS X Lion version และทำการ copy the bash ใหม่ให้ Snow Leopard ด้วยตนเองหรือแก้ไขไฟล์ Distributions เพื่อให้สามารถติดตั้ง Snow Leopard ได้

ในขณะนี้แอปเปิ้ลไม่ได้ปล่อยแพทช์ทุบตีอย่างเป็นทางการสำหรับ Snow Leopard ซึ่งหมายความว่า 10.6 ผู้ใช้จะต้องติดตั้งเวอร์ชันใหม่ของ bash ตัวเอง