Un investigador ha descubierto una vulnerabilidad crítica en Bash (Born Again Shell), un intérprete de comandos instalada en la mayoría de los sistemas operativos Unix, Linux o Mac OS X.
La vulnerabilidad es conocida como Shell Shock y permitiría a un atacante conectar de forma remota un ejecutable malicioso a una variable que se ejecuta cuando se invoca el intérprete Bash.
“Toda versión de Bash es vulnerable”, dijo Josh Bressers, gerente de seguridad de los productos de Red Hat. “Es extremadamente grave, pero se necesitan unas condiciones muy específicas en lugar donde un usuario remoto podría establecer que la variable de entorno. Afortunadamente, no es común”.
El bug está relacionado en cómo Bash procesa variables del entorno dictadas por el sistema operativo o bien por un programa que llama a un script. Si Bash ha sido configurado como el intérprete de comandos por defecto, puede ser usado por hackerscontra servidores y otros dispositivos Unix y Linux vía web, SSH, telnet o cualquier otro programa que ejecute scripts en Bash.