UNIXやLinuxなどで使用されているコマンドシェルプログラムに脆弱性が9月24日に発見された。これはStephane Chazelas氏が発見したものでShellshockと呼ばれ、各種UNIXおよびMac OS Xにとっては重大な危険性を持つ。コンピュータセキュリティの情報を発信するJPCERT/CCなどが注意喚起を行っている。
脆弱性が発見されたのはLinuxなどのコマンドシェル「bash」で、LinuxやBSD、Mac OS Xに搭載されている(Linuxでは通常のビルドで組み込まれ、OS Xでもインストールされている)。Shellshockと名付けられた脆弱性は、環境変数処理のエラーを突くことで悪意のあるプログラムならば任意のコマンドを実行できる(Linuxサーバーなどの乗っ取りも可能)というもの。今年4月に話題となったOpenSSL脆弱性以上に“非常に危険”とみなされる。
とくにWebサーバーなどのでインターネットから直接アクセスできるサーバーでは遠隔攻撃される可能性が高く、IBMではこの脆弱性を狙った攻撃の存在も確認しているという。すでにGNUや各Linuxからパッチを当てたbushプログラムが公開されているが、各パッチも完全に攻撃を防げないため、bashを無効にするなどの対応が必要となる。