Hoy en día no hay sistema seguro, y sólo es cuestión de tiempo que se encuentre algún fallo en cualquier software. Por eso es conveniente no bromear cuando se descubren fallos en iOS por que, bueno, Android también los tiene. Pero también Windows Phone, OS X, e incluso parece que no, pero Linux también.
Es el caso de un fallo en el intérprete de comandos llamado "Bash" y que se utiliza por defecto en una enorme cantidad de distribuciones de Linux y Unix. Eso incluye también a OS X, ya que su núcleo es un FreeBSD, aunque hace ya muchos años que todo parecido con esa versión de Unix es pura coincidencia. El bug ha recibido el nombre de "Shellshock", y permite hacerse con el control de un equipo enviando comandos al shell instalado en un servidor para lo cual no se necesita estar autenticado en el sistema.
Lo cierto es que el fallo es bastante menos peligroso de lo que parece, aunque también depende de dónde se mire. Por ejemplo, para hacerse el control de un equipo habría que explotar el sistema de CGIs, que actualmente se utiliza en muy pocos equipos. Pero sí que, dependiendo de los componentes instalados en el servidor, se podría recopilar información del mismo para realizar otro tipo de ataques más enfocados al sistema/componentes que use el equipo. El problema realmente reside en lo fácil que es explotar el bug, y que sin duda estará ya incluido en rootkits.
En OS X no hay problemas para los usuarios normales por que no tienen instaladas aplicaciones que permitan explotar el bug de bash. Pero eso no quita para que los gigantes de Internet hayan comenzado a actualizar sus equipos. Google, Amazon, Apple y Red Hat ya los han parcheado, así como las distribuciones de Linux como Debian o Ubuntu. En el caso de las agencias gubernamentales el problema puede ser más serio por que la burocracia puede dejar muchos servidores abiertos al problema.
Vía: GigaOM.