Sabino Maggi
Apple ha finalmente rilasciato l’aggiornamento per bash, un componente fondamentale dei sistemi operativi derivati da Unix, fra cui c’è lo stesso OS X.
La settimana scorsa si è sparsa la notizia della scoperta di questa gravissima falla di sicurezza nella shell bash, il componente software che interpreta ed esegue i comandi del Terminale, diventata ormai da anni la shell di default di OS X e di quasi tutte le distribuzioni di Linux.
Per scoprire se il proprio sistema è affetto dalla falla (e se siete su OS X lo è di sicuro), basta lanciare il Terminale ed eseguire questo comando,
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Se vengono stampate le due righe,
vulnerable
this is a test
la shell bash è affetto dalla vulnerabilità.
Scaricando l’aggiornamento di bash dal sito di Apple (quello di Mavericks è qui, ma ci sono anche le versioni per Mountain Lion e per Lion) ed installandolo sul proprio sistema, ci vuole un minuto in tutto, si dovrebbe riuscire a appare questa falla.
Dopo l’installazione, eseguendo di nuovo dal Terminale il comando di sopra si ottiene soltanto
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test
È un bene che Apple abbia rilasciato l’aggiornamento. Ma bisogna anche aggiungere: finalmente.
Avrebbe dovuto essere più veloce, non trincerarsi dietro la pretesa assurda che la vulnerabilità colpisce solo pochi utenti. Perché non è vero. Anche chi non sa nemmeno cosa sia il terminale può benissimo usare programmi che usano bash dietro le quinte, ritrovandosi a rischio senza nemmeno sospettarlo.