Специалисты по безопасности из Red Hat обнаружили новую уязвимость в распространенной командной оболочке «Bash», используемой в OS X и Linux, которую можно с минимальными усилиями использовать для внедрения вредоносного кода. В связи с повсеместным распространением оболочки Bash, эта уязвимость может затрагивать широкий спектр сетевых устройств и сервисов, включая незащищенные веб-сайты, бытовые приборы с функцией «умного дома», серверы и многое другое.
Специалист по безопасности Роберт Грэм отметил в своем блоге, что уязвимость Bash «так же серьезна, как Heartbleed», ссылаясь на обнаруженную ранее в этом году ошибку в популярном программном обеспечении OpenSSL, которое обеспечивает безопасность соединений между клиентами и серверами:
Устройства из категории «Интернет вещей», такие как видеокамеры, особенно уязвимы, поскольку большая часть их программного обеспечения построена на основе скриптов Bash с веб-интерфейсом. Таким образом, они не только менее вероятно будут обновлены, но и более вероятно будут предоставлять уязвимость внешнему миру.
В отличие от Heartbleed, которая затрагивала только определенную версию OpenSSL, эта ошибка Bash существует уже очень, очень давно. Это означает, что существует множество старых устройств в сети, уязвимых для этой ошибки. Количество систем, которые необходимо обновить, но которые не будут обновлены, намного больше, чем в случае с Heartbleed.
По сообщениям, Heartbleed затронул 66% Интернета, хотя Apple объявила в апреле, что эта уязвимость не затронула ее программное обеспечение или «ключевые сервисы». Apple также выпустила обновления для AirPort Extreme и Time Capsule, чтобы повысить безопасность этих устройств от Heartbleed.
В теме на StackExchange, посвященной уязвимости Bash, также отмечается, что Apple не включила исправление этой ошибки в последний пакет обновлений безопасности, выпущенных вместе с версией OS X Mavericks 10.9.5 на прошлой неделе. Однако, возможно, Apple выпустит исправление для OS X в ближайшем будущем для устранения этой уязвимости, как это уже было сделано для других проблем безопасности в прошлом.
