Shellshock je chyba, která využívá chybu zabezpečení v běžném prostředí Unix pro provádění příkazů (Bourne-Again SHell), aby potenciálně umožnila hackerům převzít kontrolu nad strojem a vzdáleně spouštět libovolný kód přímo do systému.
Protože se jedná o prostředí Unix bash, které využívá většina ostatních hlavních desktopových a mobilních operačních systémů, jako jsou Linux, Mac OS X, iOS, Google Android a dokonce i Microsoft Windows, má Shellshock potenciál zaútočit na mnoho typů systémů a zařízení. Doposud však byly zprávy o Shellshock ve volné přírodě poměrně omezené, přičemž nejvýznamnější útoky se zaměřovaly na servery směřující na web a zařízení NAS (Network-Attached Storage).
Rovněž se věří, že operační systémy jako OS X a Windows nevystavují bash vstupu poskytnutému útočníkem, což by Shellshock potřeboval, aby mohl počítač ovládat. Zůstává však možnost, že by mohly být objeveny další chyby zabezpečení, které by poskytly cestu do systému pro Shellshock nebo varianty chyby Shellshock.
Shellshock sdílí podobnosti s Heartbleed
Shellshock sdílí podobnosti s chybou Heartbleed, která si získala širokou pozornost počátkem roku 2014. Oba jsou příklady zranitelností při provádění libovolného kódu (ACE) a oba umožňují hackerům využívat širokou škálu počítačů, serverů a dalších zařízení.
Zatímco Heartbleed infiltroval pouze bezpečnostní vrstvu systému, chyba Shellshock kompromituje střed samotného operačního systému.
Shellshock Bug Perfect 10 in Severity
Národní institut pro standardy a technologie vyhodnotil zranitelnost Shellshock jako 10 z 10, pokud jde o závažnost, dopad a využitelnost. Sloučení problému, Shellshock je také hodnocena nízko na stupnici složitosti, což znamená, že má potenciál, aby ji snadno mohlo použít velké procento hackerů.