Shellshock, bilgisayar korsanlarının makinenin kontrolünü ele geçirmesine ve sisteme uzaktan rastgele kod çalıştırmasına olanak sağlamak için ortak Unix komut yürütme shellbash'indeki (Bourne-Again SHell) bir güvenlik açığını kullanan bir hatadır.
Shellshock, Linux, Mac OS X, iOS, Google Android ve hatta Microsoft Windows gibi diğer birçok büyük masaüstü ve mobil işletim sistemi tarafından kullanılan Unix bash kabuğunu beslediği için, birçok sistem ve cihaz türüne saldırma potansiyeline sahiptir. Bugüne kadar, Shellshock ile ilgili raporlar, Web'e bakan sunucuları ve Ağa Bağlı Depolama cihazlarını (NAS) hedef alan en belirgin saldırılar ile oldukça sınırlıydı.
Ayrıca, OS X ve Windows gibi işletim sistemlerinin, Shellshock'un bilgisayarı kontrol edebilmesi için ihtiyaç duyacağı saldırgan tarafından sağlanan girdilere bash'ı göstermediğine inanılıyor. Yine de, Shellshock veya Shellshock hatasının türevleri için sisteme bir yol sağlayacak başka güvenlik açıklarının keşfedilebilmesi ihtimali de var.
Shellshock, Heartbleed ile Benzerliklerini Paylaşıyor
Shellshock, 2014'ün başlarında yaygın olarak ilgi gören Heartbleed hatasıyla benzerlikler paylaşıyor. Her ikisi de isteğe bağlı kod yürütme (ACE) güvenlik açıklarının örnekleridir ve her ikisi de bir bilgisayar korsanının çok çeşitli bilgisayarlardan, sunuculardan ve diğer cihazlardan yararlanmasını mümkün kılar.
Heartbleed yalnızca sistemin güvenlik katmanına sızarken, Shellshock hatası, işletim sisteminin merkezini tehlikeye atıyor.
Shellshock Bug, Önem Derecesinde Mükemmel Bir 10
Ulusal Standartlar ve Teknoloji Enstitüsü, Shellshock güvenlik açığını önem, etki ve yararlanılabilirlik açısından 10 üzerinden 10 olarak derecelendirdi. Sorunu bir araya getiren Shellshock, karmaşıklık ölçeğinde de alt sıralarda yer alıyor; bu, bilgisayar korsanlarının büyük bir yüzdesi tarafından kolayca kullanılma potansiyeline sahip olduğu anlamına geliyor.