ShellShock, falla critica in Linux e Mac OS X

ShellShock, falla critica in Linux e Mac OS X

C'è una falla in innumerevoli server, computer, router, dispositivi connessi a Internet che consente agli intrusi di agire in modo devastante.

Il NIST ha assegnato a questa vulnerabilità il massimo grado di gravità: dieci su dieci.

Non c'è da stupirsi, dato che consente di prendere il comando di un server Web non aggiornato semplicemente mandando un solo comando via Internet.

È fondamentale aggiornare i dispositivi vulnerabili installando la correzione già disponibile: un'operazione relativamente facile per i computer, ma chi aggiornerà router, webcam, termostati, smart TV, stampanti e altri dispositivi online? Improvvisamente l'Internet delle Cose non sembra più una bell'idea come prima.

La falla, battezzata CVE-2014-6271 o ShellShock, risiede in Bash, l'interprete dei comandi di quasi tutti i sistemi operativi basati su Unix.

Secondo alcune indicazioni, giace indisturbata da circa vent'anni: un fatterello che non mancherà di riaprire il dibattito sui pro e contro dell'open source in termini di sicurezza. È presente fino alla versione 4.3 inclusa ed è stata resa pubblica da Stephane Chazelas.

Per sapere se un dispositivo basato su Unix (quindi anche un computer Apple) è vulnerabile, provate a digitare in una finestra di terminale questo comando (escluso il simbolo del dollaro, NdR):

$ env x='() { :;}; echo vulnerabile' bash -c "echo prova"

Se vi compare un messaggio d'errore del tipo

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for 'x'

siete a posto. Se invece compare la parole vulnerabile, siete appunto vulnerabili.