Pembaruan ini dapat diunduh dari situs web Dukungan Apple.
Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca Pembaruan Keamanan Apple.
OS X bash Update 1.0
-
Bash
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, dan OS X Mavericks v10.9.5
Dampak: Pada konfigurasi tertentu, penyerang mungkin dapat menjalankan perintah shell arbitrer secara jarak jauh
Deskripsi: Ada masalah di penguraian variabel lingkungan Bash. Masalah ini diatasi dengan penguraian variabel lingkungan yang ditingkatkan dengan mengoptimalkan pendeteksian bagian akhir pernyataan fungsi.
Pembaruan ini juga menggabungkan perubahan CVE-2014-7169 yang disarankan, yang mengatur ulang status pengurai.
Selain itu, pembaruan ini menambahkan ruang nama untuk fungsi yang diekspor dengan membuat dekorator fungsi guna mencegah pelewatan header ke Bash yang tidak diinginkan. Nama-nama dari semua variabel lingkungan yang memperkenalkan definisi fungsi harus memiliki prefiks "__BASH_FUNC<" dan sufiks ">()" guna mencegah pelewatan fungsi yang tidak diinginkan melalui header HTTP.
CVE-ID
CVE-2014-6271: Stephane Chazelas
CVE-2014-7169: Tavis Ormandy