Esta atualização pode ser descarregada a partir do site do Suporte Apple.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.
Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
Atualização do bash do OS X 1.0
-
Bash
Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impacto: em determinadas configurações, um atacante remoto pode conseguir executar comandos shell arbitrários
Descrição: ocorreu um problema na análise de variáveis de ambiente do Bash. Este problema foi resolvido através de uma melhoria na análise de variável de ambiente, com uma deteção melhorada do fim da declaração de função.
Esta atualização também incorporou a alteração CVE-2014-7169 sugerida, que redefine o estado do analisador.
Além disso, esta atualização adicionou um novo espaço de nome para funções exportadas, através da criação de um decorador de função para evitar a passagem do cabeçalho não intencional para o Bash. Os nomes de todas as variáveis de ambiente que introduzem definições de funções têm de ter um prefixo "__BASH_FUNC<" e um sufixo ">()" para evitar que a função não intencional passe através de cabeçalhos HTTP.
ID CVE
CVE-2014-6271: Stephane Chazelas
CVE-2014-7169: Tavis Ormandy