此更新可從 Apple 支援網站下載。
為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。
如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
如有可能,CVE ID 會用來參照安全關漏洞的進一步資訊。
若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。
OS X Bash 更新 1.0
-
Bash
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5
影響:在某些設定中,遠端攻擊者可能可以執行任意 Shell 指令
說明:Bash 剖析環境變數的方式存在問題。藉由進一步偵測函數陳述式結尾來改良環境變數剖析後,已解決此問題。
此更新也加入了 CVE-2014-7169 建議的更改項目,該更改項目可重置剖析器狀態。
此外,此更新還針對輸入的函數增加了新的名稱空間,方式是建立函數裝飾項目,以避免非預期的標頭傳遞到 Bash。引入函數定義的所有環境變數的名稱都必須有前置詞 __BASH_FUNC< 和後置詞 >(),以避免透過 HTTP 標頭傳遞非預期的函數。
CVE-ID
CVE-2014-6271:Stephane Chazelas
CVE-2014-7169:Tavis Ormandy