Исследователи обнаружили серьезную прореху в Unix-системах — в том числе в Linux, Mac OS, Ubuntu, Debian и других. Она присутствовала в «операционках» в течение многих лет.
Ошибка, получившая кодовое название ShellShock, находится в командной оболочке Bash. «Дыра» была обнаружена специалистом по безопасности Стефаном Чазеласом. Проблема заключается в том, что в командной оболочке есть переменные окружения, которые можно задавать при ее вызове. Как выяснилось, в значение переменных можно дописать сторонние команды и Bash их беспрекословно выполнит.
Специалисты отмечают, что эта угроза безопасности может оказаться существенно серьезнее, чем Heartbleed. Дело в том, что Bash используется огромным количеством различных программ, при этом «дыра» присутствует в множестве версий различных ОС, многие из которых так никогда и не получат обновления.
«Заплатка» для ShellShock уже выпущена для некоторых версий Ubuntu, Debian, и CentOS. Пользователям OS X и других Unix-систем, по всей видимости, придется подождать какое-то время для получения защиты.
Напомним, ранее самой значительной уязвимостью Интернета считалась Heartbleed. Эта «дыра» позволяет перехватывать часть данных из памяти сервера, в которой могут оказаться любые персональные данные, включая пароли и номера кредитных карт. Кроме того, Heartbleed теоретически позволяет злоумышленникам завладеть копиями цифровых ключей шифрования сервера, чтобы затем создать его фальшивую копию или расшифровать коммуникации с этим сервером, в том числе имевшие место в прошлом. «Дырявыми» оказались миллионы Android-смартфонов, а также множество роутеров. Роггер Сегельман, формально ответственный за появление самой крупной угрозы безопасности Интернету, свою вину отрицает.
