Det var under natten mot torsdagen svensk tid som säkerhetsbuggen i Bash, nu mer känd som "Shellshock", offentliggjordes av utvecklarna. Redan några timmar senare kunde dock Fria Tider, faktiskt som första tidning i världen, rapportera att den buggfix som släppts i samband med offentliggörandet inte fungerade.
Det tog ytterligare två dagar innan en ny säkerhetsuppdatering hade tillgängliggjorts för användare av stora serveroperativsystem såsom Linux-versionerna Debian, Ubuntu, Redhat och Centos. Och Mac OS X är fortfarande sårbart. Totalt har nu tre uppdateringar släppts och den som har senaste versionen av Bash ska nu kunna känna sig – någorlunda – säker.
Omfattningen av problemet är påtaglig och flera större aktörer har gått ut med varningar följt av uppdaterade versioner av berörda serverprodukter i syfte att förekomma potentiella angripare. En stor del av de servrar och internetuppkopplade enheter vilka drivs av operativsystemet Unix eller Linux kör den sårbara mjukvaran. En av dessa är webbservern Apache. Apache är motorn bakom en huvudpart av världens webbsajter och är således en lockande måltavla för hackare och skapare av skadlig kod. I likhet med den tidigare större sårbarheten Heartbleed är dock den exakta omfattningen just nu svår att fastställa, skriver myndigheten MSB:s IT-incidentcentrum på sin hemsida.
Redhat har gjort en genomgång av de olika Bash-buggarna och släppt testkod som visar om sårbarheten gäller din dator. På mejlinglistor där bolagets säkerhetsexperter deltar undersöktes under fredagen om webbläsaren Firefox möjligen kunde vara sårbar till följd av buggen i Bash. Redhat skriver på sin hemsida att "vi tror inte att Firefox kan utnyttjas", men man utesluter inte möjligheten.
Om Firefox eller någon annan webbläsare är sårbar för buggen så skulle det innebära en katastrof, och betyda att webbsidor får möjlighet att ta över miljoner användares datorer. Men redan idag är de flesta bedömare överens om att buggen är bland de allvarligaste säkerhetsbuggarna i datorvärlden genom tiderna.
