Sicurezza

Shellshock è ancora una minaccia, le patch solo un palliativo

Il bug ShellShock è ancora un problema molto serio, nonostante siano bastate poche ore per la pubblicazione di patch correttive da parte di tutti i principali produttori di software. La minaccia però resta valida, intanto perché come detto più volte decine di migliaia di dispositivi non saranno aggiornati, ma anche perché le correzioni non sono del tutto efficaci.

Diversi sviluppatori confermano infatti che è ancora possibile eseguire codice arbitrario su server web e altre macchine usando la shell di comandi bash, semplicemente usando comandi che non sono stati inseriti nelle liste di controllo compilate in fretta e furia alla fine della settimana scorsa.

"L'unica soluzione sicura", commenta Jon Figas su Engadget, "sarebbe una variazione fondamentale nel modo in cui la shell gestisce le variabili, il che porterebbe al malfunzionamento di legioni di applicazioni e servizi". Ciò significa che una cura definitiva comporterebbe, almeno oggi, forse un danno ancora peggiore del male che si vuole curare.

Naturalmente le patch correttive sono un lavoro in divenire, e anche mentre scriviamo queste righe sviluppatori in tutto il mondo stanno lavorando per risolvere il problema nel miglior modo possibile. Ciò che si era detto nei primi giorni, tuttavia, resta valido: Shellshock è un bug molto grave che farà sentire i propri effetti molto a lungo. Scaricare gli aggiornamenti è una buona idea, sentirsi "in una botte di ferro" invece no.