Der Shellshock ist nach dem Heartbleed-Bug, die zweite gravierende Sicherheitslücke in diesem Jahr. Die Sicherheitslücke, die am 24. September öffentlich gemacht wurde, ermöglicht durch die Definition von Funktionen als Variablen die ungeprüfte Ausführung von Programmcode. Betroffen sind neben MacOS zahlreiche Linux-Distributionen, insbesondere Webserver. Der Fehler wird von Forschern teilweise für noch kritischer wie der Heartbleed gehalten. Betroffen sind in besonderen Maße Webserver die CGI-Skripten arbeiten und damit die Ausführung von beliebigen Code erlauben. Laut einer Meldung auf heise.de wird die Lücke bereits aktiv genutzt.

Weitere Informationen:
– heise.de: Apple will OS X „bald“ abdichten
– heise.de: Standard-Unix-Shell Bash erlaubt das Ausführen von Schadcode
– Wikipedia: Code zur Prüfung auf Verwundbarkeit