Shellshockのセキュリティ欠陥を修正したOS X Bashアップデート1.0がリリースされました
Appleは、Macユーザー向けに重要なセキュリティアップデート「OS X Bash Update 1.0」をリリースしました。このアップデートは、最近発見された「Shellshock」と呼ばれる重大なセキュリティ脆弱性に対処しています。この脆弱性は、OS Xのターミナルアプリで使用されるデフォルトシェルであるbashシェルに影響を及ぼすもので、Macでターミナルアプリ、bash、コマンドラインを使用しないユーザーにもインストールが推奨されます。
ダウンロードサイズは約3.5MBと非常に小さく、リリースノートには「このアップデートは、UNIXシェルbashのセキュリティ上の欠陥を修正します」とだけ記載されています。このセキュリティパッチは現在、OS X Mavericks 10.9.5、OS X Mountain Lion、OS X Lion向けにそれぞれ個別にダウンロード可能です。OS X Yosemiteパブリックベータ版および開発者プレビュー版向けのbashパッチはまだ提供されていません。
ユーザーは、以下のリンクから、自分の OS X のバージョンに適した DMG ファイルをダウンロードできます。
- Mavericks 向け Bash アップデート (OS X 10.9.5 以降が必要)
- Mountain Lion (OS X 10.8.5) 向け Bash アップデート
- Lion (OS X 10.7.5) 向け Bash アップデート
Macユーザーは、アップデートをインストールするには、それぞれのリリースの最新バージョンを使用している必要があります。アップデートは小規模ですが、システムアップデートをインストールする前に、Time Machineまたはお好みのバックアップソフトウェアを使用してMacの簡単なバックアップを作成しておくことをお勧めします。
現時点では、OS X Bash アップデートは Apple サポート Web サイトからのみ入手可能ですが、近い将来には OS X のソフトウェア アップデート メカニズムからもリリースされると思われます。
ほとんどのMacユーザーが特定のセキュリティ侵害の影響を受けたり、Shellshock bashエクスプロイトによる侵害の危険にさらされたりする可能性は低いですが、それでもこのような重要なセキュリティパッチをインストールしておくことは賢明です。Appleは以前、この脆弱性と影響を受ける可能性のあるユーザーについて、MacRumorsに次のような声明を発表しました。
OS Xに含まれるUNIXコマンドシェルおよび言語であるbashには、権限のないユーザーが脆弱なシステムをリモートから制御できる脆弱性があります。OS Xでは、ユーザーが高度なUNIXサービスを設定しない限り、システムはデフォルトで安全であり、bashによるリモート攻撃の危険にさらされることはありません。私たちは、高度なUNIXユーザー向けにソフトウェアアップデートを迅速に提供できるよう取り組んでいます。
Appleが言及する「高度なUNIXサービス」とは、リモートログインとSSHサーバを指していると思われます。これらはリモート管理を可能にしますが、Macにアクセスするには有効なログイン情報が必要です。また、MacユーザーがMacから直接WebページをホストできるようにするオプションのOS X Apache Webサーバに潜む脆弱性を突く、理論上の攻撃ベクトルも考えられます。繰り返しますが、たとえOS XのリモートログインやWebサーバ機能を使用していたとしても、多くのMacユーザーが危険にさらされる可能性は低いでしょう。
Mac OS X Snow Leopard 用の Bash パッチについてはどうですか?
OS X 10.6.8 Snow Leopard を実行している Mac ユーザーの場合、bash にパッチを適用するにはいくつかのオプションがあります。
- gcc、homebrew、MacPortsを使って最新バージョンのbashを手動でインストールすることができます。
- 上記の Lion bash パッチを手動でインストールするには、OS X Lion バージョンから pkg ファイルを抽出し、新しい bash バージョンを手動で Snow Leopard にコピーするか、Distributions ファイルを変更して Snow Leopard にインストールできるようにします。
現時点では、Apple は Snow Leopard 用の公式 bash パッチをリリースしていないため、10.6 ユーザーは自分で新しいバージョンの bash をインストールする必要があります。
