เมื่อวานนี้ (24 กันยายน 2557) มีการค้นพบว่า command line shell ที่ชื่อว่า Bash (Bourne Again Shell) ซึ่งมีการใช้อย่างแพร่หลายบนระบบปฏิบัติการ Linux, Unix, OSX, Android และบนเราเตอร์หลากหลายยี่ห้อ มีช่องโหว่สามารถส่งคำสั่งปฏิบัติงานระยะไกลได้
ช่องโหว่นี้ค้นพบโดย Stephane Chazelas ช่องโหว่นี้เรียกอีกชื่อว่า Shellshock ซึ่งมีผลกับ Bash ตั้งแต่เวอร์ชั่น 1.14 จนถึง 4.3 ช่องโหว่นี้ปล่อยให้สามารถส่งคำสั่งปฏิบัติงานไปยังเครื่องเป้าหมายได้ผ่านทางระบบเครือข่าย ซึ่งสามารถควบคุมได้ถึงระดับระบบปฏิบัติการ
ข่องโหว่นี้มีผลกระทบกว้างขวางต่อระบบโครงสร้างพื้นฐานของอินเตอร์เน็ท คล้ายกับกรณีของ Heartbleed แต่ส่งผลกระทบร้ายแรงกว่า เนื่องจากช่องโหว่ Heartbleed ผู้ไม่หวังทำได้เพียงดักจับข้อมูลได้ แต่ Shellshock สามารถทำการควบคุมเครื่องเป้าหมายได้ และด้วยเป็นซอฟท์แวร์ที่นิมยใช้อย่างแพร่หลาย ทำให้เกิดผลกระทบกว้างขวางมาก
การทดสอบว่า Bash ของเรามีช่องโหว่นี้หรือไม่ สามารถทดสอบโดยใช้คำสั่ง
env X="() { :;} ; echo shellshock" /bin/sh -c "echo completed" env X="() { :;} ; echo shellshock" `which bash` -c "echo completed"
ถ้ามีการแสดงผล "shellshock" แสดงว่า Bash ของระบบมีช่องโหว่นี้อยู่ ให้ทำการอัพเดท Bash เสียใหม่
แม้ว่าใน Linux Distro หลักๆ จะออกแพทช์มาแล้วแต่ Tavis Ormandy หนึ่งในฝ่ายวิจัยด้านความปลอดภัยของ Google ได้ประกาศบน Twitter ของตนว่า แพทช์เหล่านั้นดูเหมือนว่าจะยังไม่เสร็จสิ้น ซึ่งการ Twit ครั้งนี้ทำให้เพิ่มความกังวล เพราะแม้ระบบจะได้รับการแพทช์แล้ว แต่ก็อาจจะยังถูกใช้ประโยชน์จากช่องโหว่เหล่านี้ได้อยู่ดี