近日出現的一個新型漏洞威脅了包括Mac OS X在內的多個版本的Linux和Unix操作系統，以及路由器和物聯網（Internet of Things，IOT）設備。Bash是一個命令語言解釋程序（command language interpreter），當用戶將指令輸入到一個簡單文本（text-based）視窗內，操作系統便會按照指令運行。

賽門鐵克認為此漏洞相當嚴重，威脅程度較4月的Heartbleed更甚。如果攻擊者成功利用這個被稱為「Bash Bug」或「Shellshock」的漏洞，不僅可以取得目標電腦的控制權，還可以繼續侵入其他在受影響網絡中的電腦。

如何進行攻擊以及可能受到影響的設備

雖然該漏洞有可能影響任何一臺以Bash運行的電腦，但是它只能允許遠程攻擊者在某些情況下利用。如果希望實現成功攻擊，攻擊者需要強制應用程序將惡意環境變數發送至Bash。

攻擊最有可能通過被廣泛使用的Common Gateway Interface（CGI）網絡服務器進行，攻擊者可能會利用CGI發送一個畸形的環境變數到低防護的網絡服務器。由于服務器使用Bash解讀這些變數，這將導致任何附帶的惡意指令被同時執行。

攻擊者一旦成功利用該網絡服務器上的漏洞，便可以將惡意程序下載到受感染的電腦上，并且可以突破受害者電腦的防火墻，感染網絡上的其他電腦。

包括Mac OS X等多個版本的Linux和Unix操作系統都有可能受到攻擊。以Bash運行的物聯網和嵌入式設備，如路由器都有可能受到威脅。但是，許多較新的設備都以一套被稱為BusyBox的工具取代了Bash， 因此將不會受到此漏洞的威脅。

賽門鐵克對企業及消費者的建議

「Bash Bug」漏洞對企業，尤其是經營網站業務的企業構成最大的威脅。攻擊者可以存取受害者的數據，并侵入其網絡。賽門鐵克建議企業及消費者應該立即采用所有供應商提供的修補方案。Linux供應商已經對新發現的漏洞進行修補。如果某些Linux或Unix無法修補漏洞，賽門鐵克建議用戶暫時轉換到其他的Shell。蘋果Mac OS X用戶應該注意目前操作系統容易受到Bash的攻擊，一旦蘋果公司發布修補方案，用戶應該立即進行修補。