A temível Heartbleed já pode ter perdido seu título de “a falha mais perigosa da atualidade”. Acontece que especialistas em segurança da Red Hat publicaram nessa quarta-feira (24) a descoberta de uma vulnerabilidade no Bourne Again Shell (GNU Bash) em sistemas operacionais baseados em UNIX (Linux, OS X e outros). Esta brecha permite a execução de códigos não apenas por parte do usuário; softwares maliciosos podem também se valer do erro no momento em que o interpretador de comandos é aberto.
As versões 1.14 e 4.3 do shell são afetadas pela falha. De acordo com Stéphane Schazelas, um dos especialistas responsável por encontrar o erro, a vulnerabilidade se dá na forma como o processamento das variáveis de ambiente é feito pelo Bash. O problema é ativado no momento em que o shell é aberto e um “código é adicionado ao final de suas definições de função”, explica a Red Hat.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
Em postagem feita junto ao Errata Security, Robert Graham destacou a gravidade do erro encontrado. “Uma enorme porcentagem de softwares interage de alguma forma como o shell. Nunca vamos conseguir catalogar todos os programas que estão vulneráveis ao bug de Bash”, alertou Graham. Em entrevista ao The Verge, Nicholas Weaver, especialista em segurança da Berkeley ICSI, disse que a vulnerabilidade é “sutil, feia e ficará conosco por muitos anos”.
Comandos diversos podem ser rodados em máquinas que solicitam shell scripts para a configuração de sistemas – este é o caso, por exemplo, dos clientes DHCP; se um destes servidores for acometido pela falha, um ataque pode ser executado. “O bug interage com softwares de formas imprevisíveis. E este [erro] pode ser tão grave quanto o Heartbleed”, comentou ainda Graham. Vale mencionar que um título oficial ao bug não parece ter sido ainda definido – o erro, contudo, está sendo chamado de “shellshock”.
Correção à falha
Algumas das principais distribuidoras de Linux já trabalham em atualizações que corrigem a vulnerabilidade (tais como Red Hat Enterprise Linux, Fedora, Ubuntu, CentOS e Debian). A Apple, segundo aponta o site Ars Technica, está desenvolvendo uma atualização – o lançamento do patch deverá ser feito em breve pela empresa ao sistema OS X. A correção ao bug, porém, não deverá afetar “softwares menores” que interagem com o shell. Mais esclarecimentos acerca da falha podem ser conferidos por meio destes links (1, 2 e 3).
Fontes
Categorias