Co to jest błąd shellshock i jak go załatać na OS X

Heartbleed. Shellshock. Cóż, poznaliśmy nazwy tych niebezpiecznych błędów, które brzmią jak tytuły piosenek Taylor Swift. Heartbleed wpłynął na praktycznie każdą stronę internetową. Był to znany błąd, który od lat był uśpiony i chociaż naprawa była łatwa, musiała zostać wdrożona przez każdego programistę.

Ekspert ds. Bezpieczeństwa Robert Graham mówi, że Shellshock jest większy niż Heartbleed.

Chyba się myliłem, twierdząc, że #shockshock był tak duży jak #heartbleed. Jest większy.

- () {:;} Robert Graham (@ErrataRob) 25 września 2014 r

Czym dokładnie jest ten błąd Shellshock i jak wpływa on na komputer Mac? Porozmawiajmy o tym i rozwiązaniu.

Co to jest Shellshock?

Pod graficznym interfejsem użytkownika uruchamia się kod - polecenia uruchamiające procesy i zapewniające dane wyjściowe na ekranie.

W Bash, interfejs wiersza poleceń w OS X, ciąg tekstu może być przechowywany jako zmienna. Programiści przekształcają tekst w zmienne, aby nie musieli ich wpisywać wielokrotnie.

Na przykład możesz powiedzieć:

Z ='this is a long string of text'

A później, jeśli powiesz echo $ Z, linia poleceń wstawi tekst tam, gdzie chcesz. To ma być traktowane jako tekst, a nie jako polecenie. I tu jest błąd.

W wierszu poleceń Bash używanym przez Linux i OS X, jeśli wpiszesz określony znak na początku zmiennej, możesz zmienić go w polecenie.

Tekst jest: () {:;};

Oznacza to, że polecenia, które nie zostały usankcjonowane przez system lub programistę, nawet polecenia zablokowane z powodu złośliwego lub zakłócającego charakteru mogą być uruchamiane, jeśli mają ten prefiks.

Shellshock (lub błąd Bash, jeśli jesteśmy techniczni) jest ograniczony tylko do systemów UNIX. Znaczenie OS X i Linux. Ten błąd nie dotyczy użytkowników systemu Windows.

Aby uzyskać bardziej techniczne wyjaśnienie, sprawdź doskonały błąd Vox dotyczący błędu Shellshock. Alternatywnie, sprawdź poniższy film z tym samym prostym wyjaśnieniem, z brytyjskim akcentem.

Jak wpływa na Ciebie błąd Shellshock

Bezpośrednio tak nie jest.

Ale podczas gdy aplikacje w systemie OS X działają w trybie piaskownicy, rozmawiają ze sobą - w celu odciążenia zadań do innych aplikacji lub zapytania o funkcjonalność na poziomie systemu. Cała ta rozmowa odbywa się za pomocą kodu w terminalu.

Podczas jednej z tych wymian jedna aplikacja może dodać przedrostek w cudzysłowie i przekształcić go w polecenie. Te polecenia mogą wyczyścić komputer, uczynić go bezużytecznym, skopiować zawartość dysku lub dowolną liczbę rzeczy możliwych za pośrednictwem wiersza polecenia.

Jak naprawić błąd Shellshock

Na szczęście Apple powiedział, że tylko niewielka liczba użytkowników OS X jest podatna na błąd Shellshock. Ale wskazane jest, aby na komputerze Mac z systemem OS X Lion, Mountain Lion lub Mavericks zainstalować aktualizację poprawki z poniższych łączy. Nie ma jeszcze poprawki dla użytkowników wersji beta Yosemite.

• Lew
• Lew górski
• Mavericks

Aktualizacja Mavericks ma tylko 3, 2 MB i jest dostarczana jako plik DMG. Proces instalacji jest prosty i nie trzeba nawet ponownie uruchamiać komputera Mac.

Jest to standardowy instalator pakietów w pliku DMG. Otwórz instalator i naciśnij kilka razy przycisk Dalej, aby aktualizacja została zainstalowana.

O to chodzi. Bądź bezpieczny.