Testa a velocidade da tua internet com o

Correções para a mega-vulnerabilidade Shellshock podem não ser suficientes

29 set 2014 11:32

Este artigo tem mais de 9 anos

Vários grupos e empresas já lançaram atualizações de software para que a falha de segurança que afeta sistemas operativos baseados em Linux e Unix fosse corrigida. Mas de acordo com alguns especialistas, ainda existem muitos buracos por tapar.

O problema de segurança informática que na semana passada fez manchetes em todo o mundo, o Shellshock, promete não desaparecer da atenção mediática nos próximos tempos. Isto porque a vulnerabilidade encontrada ainda não terá sido totalmente resolvida com os patches que foram lançados na semana passada.

A publicação Ars Technica cita alguns exemplos de especialistas de segurança informática que dizem ter conseguido explorar a vulnerabilidade através de outros métodos, apenas evitando o modelo que tem estado a ser corrigido. É como se existissem vários buracos de segurança e apenas meia dúzia deles tivessem sido tapados.

Um investigador japonês usou uma variável diferente na tentativa de acesso à falha e “acedeu” à vulnerabilidade. Um outro especialista confirmou a hipótese. São já vários os “entendidos” que estão a pedir atualizações mais vastas e que estão a propor algumas hipóteses de resolução.

Um desses cenários passa por criar um controlador de permissões ao nível do interpretador de comandos do sistema operativo – a ferramenta que faz a ligação entre o que é pedido para ser feito e a atual realização da tarefa. Assim todo o fluxo de informação que vai ser processado e não é desejado, é barrado pelos utilizadores. A outra resolução passa por adicionar prefixos às funções do bash, o que impede que tenham o mesmo nome que as variáveis do sistema.

Mas, como alerta o Ars Technica, nos dois casos serão precisas profundas alterações ao código-fonte do software, o que vai condicionar ainda mais as políticas de atualização. Primeiro porque vai obrigar à adaptação das novas regras a dezenas de distribuições e sistemas operativos, e depois porque uma atualização de grande perfil vai acabar por ser ignorada por vários agentes.

O Shellshock é uma vulnerabilidade que permite aos piratas informáticos explorarem uma falha no interpretador de comandos de sistemas operativos baseados em Linux e Unix. Apesar de os utilizadores finais, sobretudo os que fazem um uso avançado dos sistemas operativos, estarem em risco, é nos servidores que recaem as maiores preocupações.