Apple lukker to Shellshock-huller

Artiklen blev oprindeligt publiceret den 1/10/2014

Apple har lukket to sikkerhedshuller i Bash, der er kendt som sårbarheden Shellshock. Men et tredje hul kan stadig stå åbent.

Rettelsen, der hedder OS X bash Update 1.0, fjerner sårbarhederne CVE-2014-6271 og CVE-2014-7169. Sårbarhederne lader en lokal bruger afvikle vilkårlige kommandoer via kommandofortolkeren Bash.

Men ifølge sikkerhedsforsker Greg Wiseman kan systemet stadig være sårbar over for CVE-2014-7186. Den kan få systemet til at gå ned og indebærer muligvis også andre risici.

Anbefaling
Installer opdateringen til Mac OS X. Det er muligt, at den ikke kan installeres via Software Update, i så fald skal den hentes direkte fra Apples websted.

Links

• About OS X bash Update 1.0, information fra Apple
• CVE-2014-7186
• Apple Releases Patch for Shellshock, May Still Be Vulnerable, blogindlæg af Greg Wiseman
• Alvorligt hul i Bash står åbent, DKCERT 25-09-2014