Este ano, foi detectada uma assustadora falha que atinge diversos sites na internet. Apelidado de Heartbleed, o bug minava a segurança dos usuários – e foi até usado pela NSA para coletar dados.

Agora, temos mais outra falha profunda para nos preocupar: o ShellShock. Ele permite a hackers rodar qualquer código assim que um programa é aberto, e impacta diversos servidores na web.

Trata-se de uma falha no Bash, um shell (terminal de linha de comando) bastante usado em sistemas operacionais baseados no Unix – no caso, Linux e OS X. Assim que se abre o shell, o bug permite que um código malicioso seja executado.

A falha existe nas variantes do Linux há um bom tempo. Algumas delas – Debian, Redhat, Fedora – ensinam como resolver o problema, mas avisam que a solução é apenas parcial por enquanto. A Apple, por sua vez, ainda não divulgou uma correção para o OS X. (Você pode seguir estas instruções para ver se seu Mac está vulnerável.)

Mas mesmo que exista a atualização, implementá-la será mais difícil, já que a falha atinge uma gama ampla de servidores. Ela também afeta dispositivos conectados à internet – já vulneráveis a hackers – exceto se usarem o BusyBox, que tem um shell diferente.

O especialista em segurança Robert Graham diz que o ShellShock é “tão grande quanto o Heartbleed”: ele “está em tantos lugares que nós realmente não podemos erradicar tudo”. Graham fez um teste e encontrou 3.000 sistemas vulneráveis e conectados à internet.

E só conseguiremos medir o impacto dele daqui a um bom tempo. O pesquisador Nicholas Weaver diz ao The Verge que esta falha é “sutil, grave, e estará conosco por muitos anos”. [Robert GrahamEngadgetThe Verge]

Imagem por Robert Graham