25 сентября 2014 г.
Эксперты в области информационной безопасности сообщили об обнаружении в программном обеспечении Linux серьезной уязвимости, которая может оказаться опаснее, чем нашумевшая уязвимость Heartbleed, передает агентство Reuters.
Как пишет "Российская Газета", ошибка была обнаружена в приложении под названием Bash, которое используется в Linux для управления командной строкой. Найденная уязвимость, позволяет злоумышленникам получить полный контроль над взломанной системой.
Портал SecurityLab уточняет, что эта уязвимость существовала в течение последних 22 лет, а обнаружил ее на минувшей неделе эксперт Стефан Чазелас.
Стоит отметить, что ошибка в Bash, открывающая хакерам доступ к чужим компьютерам, обнаружена в системах Linux, которые устанавливаются как на домашние компьютеры, так и на интернет-серверы, а также в программных платформах Mac OS X.
Руководитель отдела кибербезопасности в компании Rapid7 Тод Бердсли заявил, что уязвимость в Bash получила максимальную оценку "10", что говорит о легкости ее использования для организации различных кибератак. "С помощью этой уязвимости злоумышленники потенциально могут проникнуть в операционную систему, внести в нее изменения и так далее", - заявил Бердсли.
Бердсли также подчеркнул, что администраторы любых систем, использующих Bash, должны немедленно загрузить соответствующее обновление. Однако другие специалисты отмечают, что часть патчей, направленных на устранение ошибки, на самом деле ее не устраняют, а обновление безопасности для Mac OS X пока еще не создано. Таким образом, большинство подключенных к Сети компьютеров на Linux или Mac OS в настоящее время находится под угрозой.
Проверить конкретный компьютер на наличие уязвимости Bash можно при помощи простого теста, который публикует CNews. Для проверки необходимо запустить терминал и ввести выражение env x='() { :;}; echo vulnerable' bash -c "echo this is a test".
При действующей в системе уязвимости терминал возвращает сообщения "vulnerable" и "this is a test", а если баг устранен, то "bash: warning: x: ignoring function definition attempt", "bash: error importing function definition for 'x'" и "this is a test" (ошибка в синтаксисе).
Согласно данным портала, проведенный тест показал присутствие уязвимости в последней актуальной версии OS X 10.9.5 Mavericks.