Foto: Thinkstock
Dat meldt opensourcebedrijf Red Hat op zijn blog. De bug, genaamd Shellshock, zit in de Bash-shell van OS X en Linux, het opdrachtregelprogramma waarmee gebruikers code op hun eigen systeem kunnen uitvoeren.
Kwaadwillenden kunnen via een malafide website een code in de Bash-shell injecteren, waardoor zij van afstand hun eigen code kunnen uitvoeren en OS X- en Linux-apparaten kunnen overnemen.
De Bash-shell wordt tevens gebruikt in heel veel Linux-varianten, waaronder apparaten met een eigen webserver, zoals webcams en routers. Die apparaten zijn ook kwetsbaar door de bug en kunnen door kwaadwillenden worden misbruikt om code op een computer uit te voeren.
Linux en Apple
Er is inmiddels een update uitgebracht voor de Bash-shell van Linux waardoor de kwetsbaarheid is verholpen. Ook Ubuntu, een populaire Linux-variant, bevestigt dat het aan een update werkt. Apple heeft nog niet op de kwetsbaarheid gereageerd.
Android, dat ook op Linux is gebaseerd, maakt geen gebruik van de Bash-shell.
Het updaten van andere apparaten die gebruikmaken van de Bash-shell, is volgens beveiligingsonderzoeker Robert Graham lastig. Hij noemt de Shellshock-bug ”net zo groot als Heartbleed”, het grote OpenSSL-lek waardoor veel websites gevoelige informatie als e-mailadressen, wachtwoorden en creditcardgegevens niet veilig verwerkten.
“Het aantal systemen dat moet worden geüpdatet, is veel groter dan bij Heartbleed”, aldus Graham. “Veel apparaten kunnen ook niet meer worden geüpdatet, dus je bent eigenlijk genaaid.”
Heartbleed: wat je moet weten over het ‘grootste internetlek ooit’