Vijf dagen hebben de gebruikers van OS X moeten wachten op een gepast antwoord van Apple, dat tot die tijd niet meer losliet dan dat "de grote meerderheid van OS X-gebruikers" geen risico lopen. Nu de patch dinsdag toch is gekomen, blijkt deze incompleet te zijn. Want in navolging van Linux-distro's zoals Red Hat en Debian lijkt ook Apple's patch voor Shellshock niet alle risico's te dekken.

Niet veilig

Beveiligingsonderzoeker Greg Wiseman van Rapid7 waarschuwt alle gebruikers van OS X 10.8 Mountain Lion, één van de drie gepatchte besturingssystemen van Apple, dat zij nog altijd niet veilig zijn. Hij testte één van de kwetsbaarheden met de tool 'bashcheck' van Hanno Böck, die een script schreef waarmee je kunt testen voor welke kwetsbaarheden bash gepatched is.

"Ik heb deze getest op de gepatchte versie van 10.8 (Mountain Lion uit 2012) en geverifieerd op de patch de eerste twee kwetsbaarheden dicht, maar het lijkt erop dat de update van bash nog steeds kwetsbaar is voor CVE-2014-7186", schrijft Wiseman.

Het bewuste gat zou DoS-aanvallen mogelijk maken. Apple zelf heeft aangegeven dat met name gebruikers met geavanceerde instellingen kwetsbaar zijn. Ondertussen is op Metasploit de eerste local root exploit voor OS X opgedoken.