OS X Bash Update 1.0 publié pour remédier à la faille de sécurité Shellshock

Apple a publié une mise à jour de sécurité importante pour les utilisateurs Mac, appelée OS X Bash Update 1.0. La mise à jour corrige une faille de sécurité critique récemment découverte appelée "Shellshock" qui affecte le shell bash, le shell par défaut utilisé par l'application Terminal d'OS X. Il est recommandé à tous les utilisateurs d'installer même s'ils n'utilisent pas l'application Terminal., bash ou ligne de commande sur le Mac.


Le téléchargement est très petit, pesant environ 3, 5 Mo, et les notes de publication indiquent simplement "Cette mise à jour corrige une faille de sécurité dans le shell bash UNIX". Le correctif de sécurité est actuellement disponible sous trois versions distinctes pour OS X Mavericks 10.9.5, OS X Mountain Lion et OS X Lion. Un correctif de bash pour OS X Yosemite Public Beta et Developer Preview n'est pas encore disponible.

Les utilisateurs peuvent télécharger le fichier DMG approprié pour leur version d'OS X via les liens ci-dessous:

  • Mise à jour de Bash pour Mavericks (OS X 10.9.5+ requis)
  • Mise à jour de Bash pour Mountain Lion (OS X 10.8.5)
  • Mise à jour de Bash pour Lion (OS X 10.7.5)

Notez que les utilisateurs Mac doivent utiliser les dernières versions de leurs versions respectives pour installer la mise à jour. Bien qu'il s'agisse d'une petite mise à jour, il est conseillé de faire une sauvegarde rapide de votre Mac avec Time Machine ou votre logiciel de sauvegarde de votre choix avant d'installer les mises à jour du système.

À l'heure actuelle, la mise à jour d'OS X Bash n'est disponible que sur le site Web d'assistance d'Apple, mais elle sera vraisemblablement diffusée par le biais du mécanisme de mise à jour de logiciels d'OS X dans un proche avenir.

Bien qu'il soit improbable que la plupart des utilisateurs de Mac aient été touchés par une faille de sécurité particulière, ou soient en danger d'une violation de l'exploit bash Shellshock, c'est toujours une bonne idée d'installer des correctifs de sécurité critiques comme celui-ci. Auparavant, Apple offrait à MacRumors la déclaration suivante concernant la faille et ses conséquences possibles:

"Bash, un shell de commande UNIX et le langage inclus dans OS X, a une faiblesse qui pourrait permettre à des utilisateurs non autorisés de prendre le contrôle à distance de systèmes vulnérables. Avec OS X, les systèmes sont sûrs par défaut et ne sont pas exposés aux exploits distants de bash à moins que les utilisateurs ne configurent des services UNIX avancés. Nous travaillons pour fournir rapidement une mise à jour logicielle pour nos utilisateurs UNIX avancés. "

Les "services UNIX avancés" qu'Apple référence sont vraisemblablement Remote Login et le serveur SSH, qui permettent l'administration à distance, bien qu'un utilisateur ait toujours besoin d'un login valide pour accéder à un Mac, et un autre vecteur d'attaque théorique par des faiblesses le serveur Web optionnel OS X Apache, qui permet aux utilisateurs Mac d'héberger des pages Web directement depuis leur Mac. Encore une fois, il est assez improbable que de nombreux utilisateurs de Mac soient à risque, même s'ils utilisent les fonctions de connexion à distance ou de serveur Web d'OS X.

Qu'en est-il d'un patch Bash pour Mac OS X Snow Leopard?

Pour les utilisateurs de Mac fonctionnant sous OS X 10.6.8 Snow Leopard, vous avez quelques options pour patcher bash:

  • Vous pouvez installer manuellement la dernière version de bash avec gcc, homebrew ou MacPorts
  • Vous pouvez installer manuellement les patchs Lion bash ci-dessus soit en extrayant le fichier pkg de la version OS X Lion et en copiant manuellement les nouvelles versions de bash dans Snow Leopard, soit en modifiant le fichier Distributions pour permettre l'installation sur Snow Leopard.

À l'heure actuelle, Apple n'a pas publié de correctif officiel pour Snow Leopard, ce qui signifie que 10, 6 utilisateurs devront installer eux-mêmes la nouvelle version de bash.