(Μόλις μερικούς μήνες μετά τις αποκαλύψεις για το “Heartbleed”, σήμερα κυκλοφόρησε η είδηση για την ύπαρξη ενός νέου, ίσως ακόμα μεγαλύτερου πονοκεφάλου για όσους ασχολούνται με την ασφάλεια υπολογιστών.
Αναφερόμαστε στο Bash bug ή αλλιώς Shellshock, ένα κενό ασφαλείας που όπως φαίνεται έκανε την εμφάνιση του πριν από 22 χρόνια. Εκμεταλλευόμενος αυτό το κενό ασφαλείας, κάποιος μπορεί να εκτελέσει απομακρυσμένα κακόβουλο κώδικα μόλις ενεργοποιηθεί το Bash shell (εξού και το όνομα του bug), δηλαδή το λογισμικό που χρησιμοποιείται για τον έλεγχο της γραμμής εντολών στα Unix συστήματα. Με αυτό τον τρόπο ο επιτιθέμενος μπορεί να κάνει ό,τι θέλει, μέχρι και να πάρει τον πλήρη έλεγχο του υπολογιστή.
Επειδή ακριβώς το Bash bug εντοπίζεται στα Unix συστήματα, επηρεάζει τόσο τις διανομές Linux, όσο και το OS X της Apple. Μαθαίνουμε πως έχουν ήδη κυκλοφορήσει ενημερώσεις που διορθώνουν το πρόβλημα για το CentOS, το Debian, το Red Hat και το Ubuntu. Όσον αφορά το λειτουργικό σύστημα της Apple, προς το παρόν δεν υπάρχει κάτι. Μέχρι να βγάλει η Apple μια επίσημη ενημέρωση, όποιος θέλει να διορθώσει μόνος του το bug σε κάποιον Mac, μπορεί να ακολουθήσει τις οδηγίες που έχουν μοιραστεί οι χρήστες του StackExchange. Να πούμε εδώ πως οι οδηγίες αυτές μπορεί να φανούν περίπλοκες στους απλούς χρήστες, οπότε στην συγκεκριμένη περίπτωση η καλύτερη λύση είναι η αναμονή.
This 'bash' bug is probably a bigger deal than Heartbleed, btw.
— Robert Graham (@ErrataRob) September 24, 2014Οι ειδικοί ανά τον κόσμο αναφέρουν πως το συγκεκριμένο κενό ασφαλείας είναι πιο επικίνδυνο από το Heartbleed για δύο λόγους. Πρώτον, το Heartbleed εμφανίστηκε μόλις το 2011, ενώ το Bash bug υπάρχει από την έκδοση 1.13 του Bash, η οποία κυκλοφόρησε πριν από 22 χρόνια. Αυτό σημαίνει πως το πλήθος των υπολογιστών που επηρεάζονται από το νέο bug είναι πολύ μεγαλύτερο. Δεύτερον, το μόνο που μπορούσε να κάνει κάποιος με το Heartbleed ήταν να διαβάσει τα δεδομένα που βρίσκονταν στην μνήμη RAM ενός server. Το Bash bug από την άλλη πλευρά του δίνει την δυνατότητα να κάνει ό,τι θέλει σε έναν υπολογιστή, με πολύ πιο δυσάρεστα αποτελέσματα.
[via]