Nessuna versione di OS X è interessata (né iOS è interessato). L'installazione di un'app o di una modifica di terzi comporterà l'esecuzione di un programma Mac o OS X con tale vulnerabilità / bug in OpenSSL versione 1.0.x
Apple ha dichiarato OpenSSL su OS X a dicembre 2012, se non prima. Nessuna versione di OpenSSL vulnerabile a CVE-2014-0160 ( alias Bug Heartbleed )
Apple fornisce diverse interfacce applicative alternative che forniscono SSL agli sviluppatori Mac e ha questo da dire su OpenSSL:
OpenSSL does not provide a stable API from version to version. For this reason, although OS X provides OpenSSL libraries, the OpenSSL libraries in OS X are deprecated, and OpenSSL has never been provided as part of iOS. Use of the OS X OpenSSL libraries by apps is strongly discouraged.
In particolare, l'ultima versione di OpenSSL spedita da Apple è OpenSSL 0.9 .8y 5 febbraio 2013 che non sembra avere il bug delle versioni più recenti di OpenSSL riportato sul codice per la versione di Apple della libreria.
Il PDF di questa documentazione ha alcuni consigli chiaramente scritti per gli sviluppatori e alcune sezioni utili per i professionisti o per gli utenti orientati alla sicurezza.
Considerando questo, l'unico problema rimasto sarebbe il software aggiuntivo che è stato costruito contro OpenSSL, ad es. diversi in Homebrew ( brew update
seguito da brew upgrade
) o MacPorts ( port self update
seguito da port upgrade openssl
) per l'aggiornamento alla versione 1.x corretta di openSSL.
Inoltre, puoi usare mdfind / mdls per controllare i file di nome openssl nel caso in cui tu abbia altre applicazioni che raggruppano quella libreria come raccomanda Apple piuttosto che in base alla versione "sicura" Apple viene ancora fornita con OS X.
for ff in 'mdfind kMDItemFSName = "openssl"'; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done