Tegnap futott végig az interneten, hogy újabb súlyos sérülékenységre hívták fel biztonsági szakemberek a figyelmet, ami egy olyan nyílt forrású szoftverben található, amelyet számítógépek és egyéb eszközök milliói használnak világszerte (gyárakban és erőművekben is), így a hiba jelentősége és veszélyessége az év elején megtalált Heartbleedéhez mérhető. A sebezhetőséget egy független biztonsági szakember, Stephane Chazelas fedezte fel nemrég, és ő volt az, aki erről értesítette a gyártókat.

A Shellshocknak nevezett hiba a Bash rendszerszoftverben található. A Bash (Bourne again shell) egy Unix rendszerhéj, egy parancsközvetítő program, jelenlegi változatát körülbelül 1989-ben alakították ki, és Unix-alapú rendszerekben használják, így a különféle Linuxokban és a Mac OS X-ben is – vagyis számtalan eszköz érintett: szerverek, routerek, androidos telefonok stb. (Az Androidról egyébként éles viták alakultak ki a hírekhez kapcsolódó topikokban, mivel sokan állítják, hogy a legtöbb androidos rendszer nem a Basht használja.) Külön kiemelendő, hogy a Unix miatt elterjedt az ipari rendszerekben is. Bár ezeken a helyeken biztonsági okból a belső rendszereket általában nem engedik az internetre kapcsolódni, ám az iráni példa is bizonyítja, hogy ez nem százszázalékos védettség, ezért az említett rendszerek is veszélyeztetettek a sérülékenység miatt.

Épp a funkciója és elterjedtsége miatt jelent nagy veszélyt ez a sebezhetőség, mivel lehetővé teszi az illetéktelen külső irányítást és programtelepítést, parancsfuttatást. A kockázat minden egyes Basht futtató eszközt érint: az otthoni gépeken és routereken éppúgy át lehet venni az irányítást, mint ahogy a webszervereken, ahonnan ezek után tömegesen lophatóak el adatok, illetve futtathatóak kártékony programok.

A sebezhetőséget több helyen is részletesen bemutatják: a sérülékenységet a legveszélyesebb, 10-es kategóriába soroló CERT amerikai oldalán megjelent egy hibaleírás, de érdemes megnézni a Kaspersky leírását is, ahol a tesztelés módját is bemutatják, valamint a Trend Micro tájékoztatóját, illetve talán a legalaposabb elemzés a troyhunt.com-on olvasható.

A hiba egyébként már több mint húsz éve jelen van a szoftverben, így már az elmúlt egy napban is fellángoltak azok a viták, amelyek a nyílt szoftverek biztonságosságáról tavasszal, a Heartbleed kapcsán is hetekig nagy intenzitással folytak (az a hiba „csak” két évig maradt felfedezetlen).

Mára már az is kiderült, hogy támadók már ki is használták a sebezhetőséget.

A javítások folyamatosan készülnek – a hibát elsőként napvilágra hozó Red Hat már tegnap kiadott egy javított változatot, ám pár órával később már azt jelentették be, hogy az még nem tökéletes, dolgoznak rajta, és addig is tanácsokkal látják el a rendszergazdákat. Az még gondot jelenthet, hogy a hiba speciális jellege miatt az átlagos felhasználó nemigen tehet mást, mint hogy kivárja, amíg a gyártók kiadják az automatikus frissítéseket. Ez azért jelent nagy problémát, mert az androidos telefonok esetében közismert a frissítési mechanizmusok tökéletlensége és lassúsága, így ezek az eszközök vannak a legnagyobb veszélyben. Javíthat a helyzeten egy friss vírusvédelmi szoftver, egy olyan, amelyik már tartalmazza a legújabb változtatásokat. Ezen kívül különösen problematikus lehet a javítás azokon a régi, főként hálózati eszközökön, amelyekhez a gyártó már nem ad ki frissítést, esetleg már a cég is megszűnt.