Acerca da Atualização do bash do OS X 1.0

Este artigo descreve os conteúdos de segurança da Atualização do bash do OS X 1.0.

Esta atualização pode ser descarregada a partir do site do Suporte Apple.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.

Sempre que possível, são utilizadas ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

Atualização do bash do OS X 1.0

  • Bash

    Disponível para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impacto: em determinadas configurações, um atacante remoto pode conseguir executar comandos shell arbitrários

    Descrição: ocorreu um problema na análise de variáveis de ambiente do Bash. Este problema foi resolvido através de uma melhoria na análise de variável de ambiente, com uma deteção melhorada do fim da declaração de função.

    Esta atualização também incorporou a alteração CVE-2014-7169 sugerida, que redefine o estado do analisador.

    Além disso, esta atualização adicionou um novo espaço de nome para funções exportadas, através da criação de um decorador de função para evitar a passagem do cabeçalho não intencional para o Bash. Os nomes de todas as variáveis de ambiente que introduzem definições de funções têm de ter um prefixo "__BASH_FUNC<" e um sufixo ">()" para evitar que a função não intencional passe através de cabeçalhos HTTP.

    ID CVE

    CVE-2014-6271: Stephane Chazelas

    CVE-2014-7169: Tavis Ormandy

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: