Многие помнят нашумевшую уязвимость Heartbleed, не так давно напугавшую пользователей Интернета. Похоже, что ей пришло время отойти на второй план. Исследователи обнаружили еще более серьезную прореху в Unix-системах - в том числе в Linux, Mac OS, Ubuntu, Debian и других. Она присутствовала в "операционках" в течение многих лет.
Ошибка, получившая кодовое название ShellShock, находится в командной оболочке Bash. "Дыра" была обнаружена специалистом по безопасности Стефаном Чазеласом. Проблема заключается в том, что в командной оболочке есть переменные окружения, которые можно задавать при ее вызове. Как выяснилось, в значение переменных можно дописать сторонние команды и Bash их беспрекословно выполнит.
Специалисты отмечают, что эта угроза безопасности может оказаться существенно серьезнее, чем Heartbleed. Дело в том, что Bash используется огромным количеством различных программ, при этом "дыра" присутствует в множестве версий различных ОС, многие из которых так никогда и не получат обновления.
"Заплатка" для ShellShock уже выпущена для некоторых версий Ubuntu, Debian, и CentOS. Пользователям OS X и других Unix-систем, по всей видимости, придется подождать какое-то время для получения защиты.
Напомним, ранее самой значительной уязвимостью Интернета считалась Heartbleed. Эта "дыра" позволяет перехватывать часть данных из памяти сервера, в которой могут оказаться любые персональные данные, включая пароли и номера кредитных карт. Кроме того, Heartbleed теоретически позволяет злоумышленникам завладеть копиями цифровых ключей шифрования сервера, чтобы затем создать его фальшивую копию или расшифровать коммуникации с этим сервером, в том числе имевшие место в прошлом. "Дырявыми" оказались миллионы Android-смартфонов, а также множество роутеров. Роггер Сегельман, формально ответственный за появление самой крупной угрозы безопасности Интернету, свою вину отрицает.
Источник: Reuters
