Autor: Jeremy Kirk

A Apple liberou nessa semana a correção para o bug Shellshock, uma vulnerabilidade crítica de software, descoberta na semana passada, que afeta primariamente sistemas operacionais Unix e Linux e também afetaria o Mac OS X (que é derivado do Unix). A empresa no entanto diz que no caso do OS X o risco era mínimo para a maioria dos usuários.

Assim que foi tornado público o Shellshock, a Apple alertou que apenas usuários que tinham configurado serviços Unix avançados poderiam ser afetados pelo problema. A Apple publicou páginas na web separadas contendo as correções para as versões Mavericks, Mountain Lion e Lion.

O que é a ameaça

Shellshock é o nome dado para uma falha descoberta no shell Bash (Bourne Again Shell), que é um shell de processamento de linha de comandos que é usado para enviar comandos para um sistema operacional. O Shellshock, se explorado por um cibercriminoso, permite a um invasor assumir remotamente o controle de um computador ou servidor e enviar a ele comandos maliciosos que seriam processados e executados.

A falha no Bash existe há pelo menos duas décadas, o que a faz ainda mais crítica e mais perigosa que o famoso Heartbleed (bug encontrado no OpenSSL), pois pode estar afetando um número grande de equipamentos e dispositivos conectados que utilizam Linux ou Unix e que ainda permanecerão sem correções até serem todos identificados.

Larga distribuição

O medo é provocado pelo fato de que a biblioteca de código open-source usado para criptografar dados entre um cliente e um servidor é amplamente usada e presente, como o OpenSSL, em uma grande variedade de programas.

A empresa de segurança Intego disse que o Bash poderia ser explorado no OS X se um recurso de login remoto fosse ativado para todos os usuários, o que é uma prática insegura e altamente não recomendada para qualquer situação. Servidores OS X antigos que estejam rodando ambientes de scripting em Apache ou PHP também estariam potencialmente abrindo o flanco para uma invasão pelo Bash, diz a empresa.

Fonte: Macworld