A pochi mesi dalla falla Heartbleed che ha fatto tanto discutere in Rete, i ricercatori di sicurezza hanno individuato una nuova vulnerabilità che ha un potenziale impatto ancora più grave: si tratta di Shellshock, un bug rinominato Bash Bug che potrebbe mettere in ginocchio aziende, servizi di hosting e server di tutto il mondo basati su Linux.
=> Leggi tutto su Heartbleed
In particolare la shell Bash, «forse una delle utility più installate su tutti i sistemi Linux», è affetta da un bug particolarmente pericoloso che se sfruttato permette l’esecuzione di codice arbitrario sui sistemi Linux. I ricercatori di Red Hat l’hanno definita una vulnerabilità zero-day, infatti sono già stati individuati attacchi che la sfruttano; si tratta di una questione di grande importanza poiché chi è a conoscenza di Bash Bug può «creare variabili d’ambiente con valori manipolati prima di chiamare la shell bash. Queste variabili possono contenere codice, che sarà eseguito non appena s’invoca la shell».
Scoperto dal ricercatore Stephane Shazelas, Bash Bug potrebbe pertanto permettere di attaccare ogni sistema basato su Linux e Unix, ma a quanto pare anche su Mac OS X. Un malintenzionato potrebbe infatti usare la falla per eseguire comandi su server, poiché Bash è il software usato per controllare il prompt dei comandi su moltissimi sistemi Linux.
I potenziali danni da un attacco informatico di tale tipo sono enormi e Bash bug rappresenta attualmente un problema di sicurezza così grave che anche il Dipartimento per la Sicurezza Nazionale degli Stati Uniti ha deciso di pubblicare un allarme a riguardo. La maggior parte dei sistemi Unix/Linux saranno aggiornati nei prossimi giorni ma, secondo gli esperti, per eliminare totalmente la falla ci vorranno anni.