Apple avait promis une mise à jour de sécurité pour corriger les failles relatives à Bash, et c’est désormais chose faite. Lion, Mountain Lion et Mavericks sont concernés par la mise à jour, mais alors que les deux failles connues sont colmatées, deux autres pointent le bout de leur nez.
Apple corrige les deux failles qui avaient été recensées
La faille touchant Bash, estampillée Shellshock, a provoqué l’arrivée de nombreuses mises à jour pour les systèmes d’exploitation concernés, pour la plupart des dérivés d'Unix et de Linux. Apple avait néanmoins réagi pour expliquer que les utilisateurs d’OS X n’avaient pas de raison de craindre cette faille, en dépit des fondations Unix du système maison. Pourquoi ? Parce qu'elle ne peut être exploitée que lorsque Bash est défini comme shell par défaut, ce qui ne peut arriver sous OS X à moins d’avoir configuré les services Unix dans ce sens.
Quoi qu’il en soit, Apple fournit désormais une série de mises à jour à télécharger en fonction du système concerné :
Les tests ne font plus apparaître Shellshock dans les résultats après installation du correctif
On remarquera donc pour l’instant qu’aucune mise à jour n’est fournie pour Yosemite, actuellement en Developer Preview 8. Il y a fort à parier que la faille sera colmatée lors de la prochaine préversion. Notez en outre que les mises à jour ne sont pas encore disponibles dans les versions respectives de l’App Store. Il faut pour l’instant passer obligatoirement par les liens de téléchargement séparés pour installer les correctifs.
Deux autres failles apparaissent déjà
La première faille Shellshock a depuis enfanté d’autres petites brèches. Maintenant que les chercheurs en sécurité se sont penchés sur la question, Bash révèle d’autres faiblesses liées à sa gestion des variables d’environnement.
Comme indiqué par Ars Technica, le chercheur en sécurité David A. Wheeler a récemment indiqué dans un message sur la liste Open Source Software Security qu’il existait de vrais problèmes de sécurité avec Bash. En fait, les deux premiers patchs publiés ressemblent davantage selon lui à des rustines car ils ne commencent « même pas à résoudre le problème Shellshock sous-jacent ». Et d’expliquer que le parseur de Bash (qui analyse donc la syntaxe des commandes) n’a jamais été conçu pour être en phase avec les standards de sécurité d’aujourd’hui. Selon lui, Bash ne pourra pas être considéré comme sécurisé tant qu’il scannera automatiquement les variables d’environnement.
Il existe pour l’instant deux voies menant à des correctifs : l’une consiste à mettre en place des préfixes devant les fonctions Bash, l’autre à n’autoriser l’importation de variables d’environnement que lorsqu’elles sont spécifiquement réclamées. Mais dans un cas comme dans l’autre, ces changements cassent la rétrocompatibilité et demanderont souvent aux développeurs de revoir le fonctionnement de leurs applications.
Deux types de patchs sont donc en préparation, mais il est probable désormais que d’autres failles seront découvertes dans un futur proche. De fait, Apple et les autres éditeurs ont, dans la grande majorité des cas, corrigé les deux premières failles, mais il faut s'attendre à une autre série de correctifs.
