O que é o Bug Shellshock e como corrigi-lo no OS X

Sangramento do coração. Trauma pós guerra. Bem, aprendemos os nomes desses bugs perigosos que soam como títulos de músicas de Taylor Swift. Sangramento do coração afetou praticamente todos os sites por aí. Era um bug notório que ficou inativo por anos e, embora a correção fosse fácil, teve que ser implementado por cada desenvolvedor individual.

O especialista em segurança Robert Graham diz que Shellshock é maior que Heartbleed.

acho que errei ao dizer #trauma pós guerra era tão grande quanto #heartbleed. É maior.

— () {:;}Robert Graham (@ErrataRob) 25 de setembro de 2014

Então, o que exatamente é esse bug do Shellshock e como isso afeta seu Mac? Vamos falar sobre isso e a solução.

O que é Shellshock?

Por baixo da interface gráfica do usuário, o código é executado – comandos que executam processos e fornecem a saída na tela.

No Bash, a interface de linha de comando do OS X, uma string de texto pode ser armazenada como uma variável. Os programadores transformam texto em variáveis ​​para que não precisem digitá-los repetidamente.

Por exemplo, você pode dizer:

Z ='esta é uma longa string de texto'

E mais tarde se você disser eco $Z, a linha de comando inserirá o texto onde você deseja. Isso deve ser tratado como texto e não como um comando. E é aí que está o bug.

Na linha de comando Bash usada pelo Linux e OS X, se você digitar um determinado caractere no início da variável, poderá transformá-lo em um comando.

Sendo o texto: () { :;};

Isso significa que comandos que não foram sancionados pelo sistema ou pelo desenvolvedor, até mesmo comandos bloqueados devido à sua natureza maliciosa ou disruptiva, podem ser executados se tiverem esse prefixo.

Shellshock (ou o bug do Bash se estivermos sendo técnicos) é limitado apenas a sistemas baseados em UNIX. Significado OS X e Linux. Os usuários do Windows não são afetados por esse bug.

Para uma explicação mais técnica, confira O excelente detalhamento do Vox sobre o bug Shellshock. Alternativamente, confira o vídeo abaixo para a mesma explicação simples, com sotaque britânico.

Como o Bug Shellshock afeta você

Diretamente, não.

Mas enquanto os aplicativos no OS X são executados em modo sandbox, eles conversam entre si – para descarregar tarefas para outros aplicativos ou solicitar funcionalidades no nível do sistema. Toda essa conversa acontece usando código, no Terminal.

Durante uma dessas trocas, um aplicativo pode adicionar o prefixo nas cotações e transformá-lo em um comando. Esses comandos podem limpar seu computador, torná-lo inútil, copiar o conteúdo de sua unidade ou qualquer outra coisa possível através da linha de comando.

Como corrigir o bug do Shellshock

Felizmente, a Apple disse que apenas um pequeno número de usuários do OS X é suscetível ao bug Shellshock. Mas é aconselhável que, se você estiver em um Mac executando o OS X Lion, Mountain Lion ou Mavericks, instale a atualização de correção nos links abaixo. Ainda não há correção para usuários beta do Yosemite.

• Leão
• Leão da Montanha
• Mavericks

A atualização para Mavericks tem apenas 3,2 MB e vem como um arquivo DMG. O processo de instalação é simples e você nem precisa reiniciar o seu Mac.

É um instalador de pacote padrão em um arquivo DMG. Abra o instalador e pressione Próximo algumas vezes e a atualização será instalada.

É sobre isso. Fique seguro.

Imagem superior via Shutterstock

Última atualização em 03 de fevereiro de 2022

O artigo acima pode conter links de afiliados que ajudam a dar suporte ao Guiding Tech. No entanto, isso não afeta nossa integridade editorial. O conteúdo permanece imparcial e autêntico.