Baixe agora o app da Tribo Gamer Disponível na Google Play
Instalar

Bug "tão grave quanto Heartbleed" é encontrado em sistemas baseados em UNIX

A temível Heartbleed já pode ter perdido seu título de "a falha mais perigosa da atualidade". Acontece que especialistas em segurança da Red Hat publicaram nessa quarta-feira (24) a descoberta de uma vulnerabilidade no Bourne Again Shell (GNU Bash) em sistemas operacionais baseados em UNIX (Linux, OS X e outros). Esta brecha permite a execução de códigos não apenas por parte do usuário; softwares maliciosos podem também se valer do erro no momento em que o interpretador de comandos é aberto.

As versões 1.14 e 4.3 do shell são afetadas pela falha. De acordo com Stéphane Schazelas, um dos especialistas responsável por encontrar o erro, a vulnerabilidade se dá na forma com que o processamento das variáveis de ambiente é feito pelo Bash. O problema é ativado no momento em que o shell é aberto e um "código é adicionado ao final de suas definições de função", explica a Red Hat.

Em postagem feita junto ao Errata Security, Robert Graham destacou a gravidade do erro encontrado. "Uma enorme porcentagem de softwares interage de alguma forma como o shell. Nunca iremos conseguir catalogar todos os programas que estão vulneráveis ao bug de Bash", alertou Graham. Em entrevista ao The Verge, Nicholas Weaver, especialista em segurança da Berkeley ICSI, disse que a vulnerabilidade é "sutil, feia e ficará conosco por muitos anos".

Imagem

Comandos diversos podem ser rodados em máquinas que solicitam shell scripts para a configuração de sistemas – este é o caso, por exemplo, dos clientes DHCP; se um destes servidores for acometido pela falha, um ataque pode ser executado. "O bug interage com softwares de formas imprevisíveis. E este [erro] pode ser tão grave quanto o Heartbleed", comentou ainda Graham. Vale mencionar que um título oficial ao bug não parece ter sido ainda definido – o erro, contudo, está sendo chamado de "shellshock".

Correção à falha

Algumas das principais distribuidoras de Linux já trabalham em atualizações que corrigem a vulnerabilidade (tais como Red Hat Enterprise Linux, Fedora, Ubuntu, CentOS e Debian). A Apple, segundo aponta o site Ars Technica, está desenvolvendo uma atualização – o lançamento do patch deverá ser feito em breve pela empresa ao sistema OS X. A correção ao bug, porém, não deverá afetar "softwares menores" que interagem com o shell. Mais esclarecimento acerca da falha podem ser conferidos por meio destes links (1, 2 e 3).

Fonte: Tecmundo

Comentários

25 Set, 2014 - 11:35

709 Views

Comentários