蘋果只修補了Lion (Mac OS X 10.7.5)、Mountain Lion (Mac OS X 10.8.5)及Mavericks (Mac OS X 10.9.5)三個作業系統版本

在Bash 傳出Shellshock漏洞多日之後,蘋果終於釋出OS X Bash Update 1.0更新,以修補存在於OS X Bash功能中的Shellshock漏洞。

不過蘋果只修補了Lion (Mac OS X 10.7.5)、Mountain Lion (Mac OS X 10.8.5)及Mavericks (Mac OS X 10.9.5)三個作業系統版本,舊版Mac OS無法獲得更新版,使用者必須升級到這三個版本之後才能修補 Bash漏洞。此外,代號為Yosemite的最新版Mac OS的開發者及公眾測試版目前也尚未提供更新,但蘋果表示之後會再釋出。

相關網站:OS X Lion Bash 更新Mountain Lion Mavericks

要注意的是,上周首次傳出CVE-2014-6271也是最嚴重的一個 Bash 漏洞之後,緊接著Bash又陸續發現CVE-2014-7169,以及CVE-2014-7186 和CVE-2014-7187等三個漏洞。昨日紅帽及Ubuntu的發布商Canonical也都再次釋出修補程式修補了所有的漏洞。但據安全部落客Wonder-How-To指出,蘋果的官方更新只修補了Bash中兩個最重要的漏洞,Bash更新為3.2.53版而不是最新的3.2.54版,最後兩個漏洞並未修補。

Shellshock漏洞可能讓使用Bash Shell(命令解讀殼層)的作業系統,包括Linux、Unix、Mac OS等曝露於遠端執行任意程式攻擊的風險,而且已傳出攻擊災情。多數資安業者認為,Shellshock 漏洞因為使用廣泛加上攻擊難度低,因此比四月的HeartBleed的危害程度還高。

蘋果一開始對媒體宣稱大部份Mac電腦預設為安全狀態,未曝露於Bash遠端攻擊的風險下,除非使用者有做過進階的Unix組態設定,蘋果當時也表示正在加緊著手軟體更新。

無論如何,相較於Linux業者在漏洞一公開就立即釋出修補程式的積極做為,蘋果的慢半拍也受到外界批評。Bash維護工程師Chet Ramey就在Twitter上指出,早在漏洞公佈前就已通知蘋果,還提供修補程式給他們。

對於蘋果為何慢半拍,Ars Technica報導推測認為,Mac OS X目前採用的是3.2.51版GNU Bash而不是最新版的4.3,可能是因為蘋果並不採用GPL v3版授權的GNU Bash,因為GPL v3條件較為嚴格。因此即使大部份開放源碼作業系統已有Shellshock的修補程式釋出,但蘋果高層認為仍然應該自行開發Bash更新。(編譯/林妍溱)


報名台灣唯一超規格資安盛會

熱門新聞


Advertisement