Dos han sido los temas que han centrado las noticias de seguridad durante el mes de septiembre: Shellshock, la vulnerabilidad en el intérprete de comandos Bash -incluido en un elevado número de sistemas basados en UNIX-, y, sobre todo, las filtraciones de fotos privadas de famosas, que provocaron una oleada de reacciones en la red e incluso algún que otro caso de malware.
Con respecto a Shellshock, nos encontramos ante un caso similar al de HeartBleed, que afecta a una gran cantidad de sistemas como GNU/Linux, Mac OS X o Android, entre otros, además de a un buen puñado de dispositivos de todo tipo conectados y que integrarían el conocido como “Internet de las cosas“.
La vulnerabilidad en Bash, el intérprete de comandos que se incluye por defecto en los sistemas GNU/Linux, Mac OS X y Android, permitiría la ejecución remota de código, lo que permitiría a un atacante tomar el control del dispositivo.
Todo ello debido a que una de las características de Bash se extralimita en sus funciones y sigue ejecutando código a pesar de haber finalizado de procesar una función declarada por el usuario.
La mayoría de distribuciones de GNU/Linux y Apple, con su Mac OS X, ya han publicado parches para solucionar este problema pero quedan aún millones de dispositivos vulnerables que no recibirán actualización alguna, con el riesgo que ello conlleva. De hecho, al poco tiempo de hacerse pública esta vulnerabilidad, se empezaron a detectar muestras de malware que la aprovechaban e incluso algún delincuente ya estaba montando su propia botnet aprovechándose de este agujero de seguridad.
