“Shellshock“, il nome del nuovo bug, deriva dal trauma che afflisse i soldati della Prima Guerra Mondiale, dovuto al bombardamento (utilizzato in una serie di videogiochi sul tema). Questo fa capire quanto il bug potrebbe rappresentare, su larga scala, un vero e proprio raid aereo contro gli utenti che utilizzano sistemi basati su Unix.
Questo bug nasce dal modo in cui vengono processate le “variabili d’ambiente” dalla shell, permettendo a chi attacca di eseguire codici malevoli nelle righe di comando del bersaglio, potendo così rubare informazioni private o ottenere accessi privilegiati.
Ma sarà davvero peggiore di Heartblead? Secondo gli specialisti, sì.
La shell Bash, infatti, interagisce con i software in modo imprevedibile, software che spesso utilizzano la stessa shell per inviare comandi all’intero sistema. Il bug sarebbe presente anche su versioni ormai datate di Bash, rendendolo così adatto per un eventuale sviluppo e diffusione di worm (malware in grado di auto-replicarsi tramite la shell, infettando così altre macchine).
A tal proposito l’esperto di sicurezza Robert Graham sostiene:
“Non saremo mai davvero in grado di catalogare tutto il software vulnerabile al bug di Bash”.
La Apple ha dichiarato che:
“La stragrande maggioranza degli utenti di OS X non sono a rischio di vulnerabilità Bash, recentemente segnalate”
Volete una sorpresa? Utenti Windows, tranquilli: per una volta sarete al sicuro!