Foto: Thinkstock
Dat meldt opensourcebedrijf Red Hat op zijn blog, dat eerder over de Bash-bug, genaamd Shellshock, publiceerde. Door de Bash-bug kunnen hackers van afstand code uitvoeren en systemen overnemen.
De bug zit in de Bash-shell van OS X en Linux, het opdrachtregelprogramma waarmee gebruikers code op hun eigen systeem kunnen uitvoeren. De update voor de Bash-shell zou de bug moeten oplossen, maar is niet voldoende om hackers tegen te houden.
In sommige gevallen is het nog steeds mogelijk dat hackers de Bash-bug misbruiken om code op systemen uit te voeren, zo blijkt uit onderzoek van Red Hat. Door de update voert de Bash-shell niet meer automatisch commando’s uit, maar kan de hacker dit nog steeds omzeilen en een systeem overnemen.
Red Hat meldt dat ze werken aan een update die de bug helemaal moet oplossen. De releasedatum van de update is nog niet bekendgemaakt.
Kwetsbaar
OS X en Linux zijn momenteel kwetsbaar, waarbij met name wifi-hotspots en webservers die op Linux of Unix draaien worden aangevallen. Ook alternatieve Android-versies, zoals Cyanogenmod, zijn kwetsbaar voor de Bash-bug.
Er zijn inmiddels al gevallen bekend waarbij ook Nederlandse webservers worden aangevallen via de Bash-bug. Volgens beveiligingsonderzoeker Robert Graham scannen kwaadwillenden actief naar de kwetsbaarheid.
Graham raadt iedereen die een webserver gebruikt of websites beheert aan om de laatste Bash-updates te installeren. Deze updates maken het misbruiken van de Bash-bug aanzienlijk moeilijker.
Lastig
Volgens Graham is het lastig om alle apparaten die gebruikmaken van de Bash-shell te updaten. ”Het aantal systemen dat moet worden geüpdatet, is veel groter dan bij Heartbleed”, aldus Graham.
Graham noemt Shellshock “net zo groot als Heartbleed”, het grote OpenSSL-lek waardoor veel websites gevoelige informatie als e-mailadressen, wachtwoorden en creditcardgegevens niet veilig verwerkten.
Heartbleed: wat je moet weten over het ‘grootste internetlek ooit’