Une vieille vulnérabilité a été mise au jour dans l'interpréteur en ligne de commande Bash. C'est le Bash Bug ou Shellshock qui fait beaucoup parler de lui en ce moment. Via une exécution de code à distance, un attaquant peut prendre le contrôle d'un système d'exploitation, accéder à des données dont celles d'un serveur et y exécuter des commandes.
Les experts en sécurité informatique ont tiré la sonnette d'alarme. Ils s'inquiètent du fait que de nombreux programmes exécutent le shell Bash en tâche de fond, ainsi que de la possible naissance d'un ver informatique. Ils tonnent que la correction de tous les systèmes vulnérables mettra beaucoup de temps. D'ores et déjà, de premières " timides " attaques ont été signalées.
Pour la France, le CERT-FR a publié hier une alerte de sécurité au sujet de cette vulnérabilité dans Bash qui se retrouve dans des systèmes Linux, UNIX et OS X. À noter que Android et iOS ne sont a priori pas vulnérables.
Alors que plusieurs distributions Linux proposent un correctif, même s'il est jugé encore incomplet, un porte-parole d'Apple a indiqué au site iMore qu'un patch est en préparation pour OS X. Néanmoins, il souligne que la " grande majorité des utilisateurs OS X " n'encourent pas un risque.
" Avec OS X, les systèmes sont sûrs par défaut et ne sont pas exposés à des exploits à distance du Bash, sauf si les utilisateurs configurent des services UNIX avancés. Nous travaillons pour fournir rapidement une mise à jour pour nos utilisateurs UNIX avancés. "
Rappelons que OS X fait partie de la famille des systèmes d'exploitation UNIX. Néanmoins, Apple ne précise pas ce que sous-entend des services UNIX avancés. Ce que semble surtout dire la firme à la pomme est que pour une utilisation d'OS X avec la configuration par défaut, il n'y a pas de risque.