Sobre a atualização 1.0 do bash do OX X
Este documento descreve o conteúdo de segurança da Atualização 1.0 do bash do OS X.
Essa atualização pode ser baixada no site de Suporte da Apple.
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.
Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Atualizações de segurança da Apple.
Atualização 1.0 do bash do OS X
Bash
Disponível para: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Impacto: em determinadas configurações, um invasor remoto pode conseguir executar comandos arbitrários de shell
Descrição: havia um problema na análise de variáveis de ambiente por Bash. Esse problema foi resolvido por meio de análise aprimorada de variável de ambiente, detectando melhor o final da instrução de função.
Esta atualização também incorporou a alteração sugerida de CVE-2014-7169, que redefine o estado do analisador.
Além disso, essa atualização adicionou um novo espaço de nome para funções exportadas criando um decorador de função para evitar a passagem não intencional do cabeçalho para o Bash. Os nomes de todas as variáveis de ambiente que apresentam definições de função devem ter um prefixo "__BASH_FUNC" e um prefixo ">()" para evitar que uma função não intencional passe por cabeçalhos HTTP.
CVE-ID
CVE-2014-6271: Stephane Chazelas
CVE-2014-7169: Tavis Ormandy
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.