複数のバージョンの Unix で使用されている Bash コマンドシェルで最近発見された新しい種類の脆弱性に対する修正が進行中であることを Apple が金曜日に確認し、OS X はいわゆる「Shell Shock」攻撃に対して「デフォルトで安全」であるため、「大多数の」 Mac ユーザーは影響を受けないと付け加えた。
Appleの広報担当者はThe Vergeが引用した声明の中で、「OS Xユーザーの大多数は、最近報告されたBashの脆弱性による危険にさらされていない」と述べた。
この脆弱性は、RedHatのセキュリティ研究者らによって木曜日に文書化され公表され、セキュリティ専門家のロバート・グラハム氏が、今年初めにインターネットを支えるサーバーの約3分の2で一般的に使用されているOpenSSLソフトウェアで発見された厄介な脆弱性を指して、この脆弱性を「Heartbleedバグと同じくらい大きい」と評したことで注目を集めた。
Bash は人気の Unix コマンド シェルであり、Apple の OS X は UNIX の強力な基盤に基づいているため、このユーティリティは OS X に含まれています。
Apple は、OS X を含む多くの Unix 系 OS に、権限のないユーザーがリモートから脆弱なシステムを制御できる脆弱性があることを認めつつも、OS X システムは「デフォルトで安全」であり、「ユーザーが高度な Unix サービスを設定しない限り」Bash のリモート攻撃に「さらされない」ことを強調した。
Mac コンピュータが脆弱かどうかを確認するには、次のテキストをターミナル ウィンドウに貼り付けます (ターミナル アプリは Mac のアプリケーション フォルダ内にあります)。
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
出力に「脆弱」と表示された場合、お使いの Mac は攻撃を受ける可能性があります。
次のように書いてある場合:
bash: 警告: x: 関数定義の試行を無視します
bash: `x' の関数定義のインポート中にエラーが発生しました
hello
そうすればあなたは安全です。
Linuxのいくつかの亜種にはすでにパッチが用意されており、OS Xの修正も進行中だとAppleは述べた。
「当社は上級のUNIXユーザー向けにソフトウェアアップデートを迅速に提供できるよう取り組んでいます」とクパチーノの同社は述べた。
ターミナルの使い方を熟知しているせっかちな人なら、この Stack Exchange スレッドの詳細なチュートリアルで説明されているように、パッチを適用した新しい Bash バージョンをコンパイルすることで、自分で問題を解決できます。
[ザ・ヴァージ]
