Уязвимость Shellshock опасна для мобильных пользователей

24 сентября французский девелопер Стефан Шазелаз обнаружил интернет-червь, заражающий публичные сервера. Используемую им уязвимость называют Bash или Shellshock — потому что она связана с командной оболочкой (shell) систем Linux, Unix и BSD (включая OS X компании Apple). Bash — название оболочки Unix, в которой уязвимость была впервые обнаружена. Пока что дыра зияет на большинстве серверов, которые вы посещаете с мобильных устройств. Но Роберт Грэм из компании Errata Security уже говорит о следующем этапе: атаке сетевого протокола iPhone DHCP. «Это червь, который проходит любой файрволл и заражает любую систему.» Другие аналитики присваивают Shellshock максимальный рейтинг опасности и пишут, что он «хуже, чем Heartbleed». Про Heartbleed, использующий уязвимости шифрования OpenSSL на Android-устройствах, мы уже писали.

Само описание уязвимости крайне высокотехническое и связано с особенностями настроек Bash по умолчанию. Главное, что она позволяет злоумышленникам вводить собственный код в практически любую Unix- или Linux-систему — не только серверную. Как пишет Грэм, «главная опасность в том, что баг взаимодействует с другим ПО. Большинство приложений так или иначе взаимодействует с оболочкой, и мы никогда не сможем каталогизировать весь подверженный уязвимости софт».

Bash — самая распространенная из командных оболочек Unix и Linux, время от времени используемая и в операционных системах Google (хотя в официальных сборках Android ее не бывает — ред.) и iOS. Активная эксплуатация бага уже зафиксирована: он используется для превращения серверов в ботнеты. Также вредоносное ПО, использующее уязвимость, уличено в отсылке данных на страницу, вовлеченную в угрозы выкладывания фото голой Эммы Уотсон.

Спешно выпущенный патч для админов дыру полностью не залатал. Эксплойт работает и на Mac OS X 10.9.4 Mavericks.