Vandaag werd bekend dat zowel OS X als Linux vatbaar zijn voor een bug die ‘Shell Shock’ heet. In theorie kan hierdoor op ieder apparaat vanaf afstand code uitgevoerd worden. Volgens nieuwsberichten een enorm beveiligingsprobleem.

Het is geen toeval dat zowel Linux als OS X vatbaar zijn. Beide systemen hebben een commandline waar opdrachten ingevoerd kunnen worden, ook bekend als de terminal. Door Shell Shock is het mogelijk om op afstand commando’s op die terminal uit te voeren, daarbij kunnen kwaadwillenden praktisch alles. Toch is de impact op de gemiddelde OS X-gebruiker laag.

Hoewel OS X technisch kwetsbaar is, moet een kwaadwillende eerst een ingang hebben. Die ingang kan een webserver of toegang tot de terminal op afstand zijn. De gemiddelde gebruiker draait geen web- of terminal-server. Als deze aan zouden staan, zou een router directe toegang alsnog verhinderen.

De bug is dus voor de meeste OS X-gebruikers geen acute bedreiging, maar voor apparaten die op Linux zijn gebaseerd is het ernstig. Linux wordt vaak gebruikt op webservers, die dienen voor iedereen op internet bereikbaar te zijn en hebben dus een ingang. Ook apparaten als hotspots, modems en webcams hebben vaak een webserver en zijn op Linux gebaseerd.

Grote Linux-versies hebben inmiddels updates uitgebracht om het lek te dichten. Apple heeft nog niet gereageerd, maar zal zeer waarschijnlijk snel volgen. Echt problematisch wordt het bij apparaten die niet snel van updates worden voorzien, zoals netwerkprinters en modems. env x='() { :;}; echo vulnerable' bash -c 'echo hello' Door de terminal op OS X te openen en bovenstaande regel erin te plakken, is te testen of je computer kwetsbaar is. De redactie heeft geverifieerd dat zowel OS X 10.9.5 als de laatste beta van OS X Yosemite kwetsbaar zijn.

Technische details over ‘Shell Shock’ zijn op Redhat Blog te vinden.