Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
25 сентября 2014

Уязвимость Shellshock опасна для мобильных пользователей

24 сентября французский девелопер Стефан Шазелаз обнаружил интернет-червь, заражающий публичные сервера. Используемую им уязвимость называют Bash или Shellshock — потому что она связана с командной оболочкой (shell) систем Linux, Unix и BSD (включая OS X компании Apple). Bash — название оболочки Unix, в которой уязвимость была впервые обнаружена. Пока что дыра зияет на большинстве серверов, которые вы посещаете с мобильных устройств. Но Роберт Грэм из компании Errata Security уже говорит о следующем этапе: атаке сетевого протокола iPhone DHCP. «Это червь, который проходит любой файрволл и заражает любую систему.» Другие аналитики присваивают Shellshock максимальный рейтинг опасности и пишут, что он «хуже, чем Heartbleed». Про Heartbleed, использующий уязвимости шифрования OpenSSL на Android-устройствах, мы уже писали.

Само описание уязвимости крайне высокотехническое и связано с особенностями настроек Bash по умолчанию. Главное, что она позволяет злоумышленникам вводить собственный код в практически любую Unix- или Linux-систему — не только серверную. Как пишет Грэм, «главная опасность в том, что баг взаимодействует с другим ПО. Большинство приложений так или иначе взаимодействует с оболочкой, и мы никогда не сможем каталогизировать весь подверженный уязвимости софт».

Bash — самая распространенная из командных оболочек Unix и Linux,  время от времени используемая и в операционных системах Google (хотя в официальных сборках Android ее не бывает — ред.) и iOS. Активная эксплуатация бага уже зафиксирована: он используется для превращения серверов в ботнеты. Также вредоносное ПО, использующее уязвимость, уличено в отсылке данных на страницу, вовлеченную в угрозы выкладывания фото голой Эммы Уотсон.

Спешно выпущенный патч для админов дыру полностью не залатал. Эксплойт работает и на Mac OS X 10.9.4 Mavericks.

Комментарии
1
Берёзовый Fresh
А что по этому поводу говорит наш любимый Кашперский? Что-то скромная тишина об этом. Не ловит?
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Hi-Tech Mail.Ru
Samsung Galaxy A5 (2016)
от17 100руб.
Apple iPhone 6S 32GB
от35 670руб.
Apple iPhone SE 64GB
от28 490руб.
Apple iPhone 7 32GB
от43 400руб.
Xiaomi Redmi 3S Pro 32GB
от9 590руб.
Samsung Galaxy S7 Edge 32GB
от37 000руб.
Samsung Galaxy A3 (2016)
от14 000руб.
Apple iPhone 7 128GB
от51 489руб.
Samsung Galaxy S7 32GB
от32 500руб.
Samsung Galaxy J2 Prime
от7 886руб.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru