De kwetsbaarheid in Bash die aanvallers een systeem laat overnemen, is waarschijnlijk al sinds 1992 aanwezig. Dat zegt de ontwikkelaar die verantwoordelijk is voor de shell. Al die tijd is de bug voor zover bekend onopgemerkt gebleven.

Chet Ramey, de vrijwilliger die verantwoordelijk is voor Bash, zegt tegenover The New York Times dat hij de bug waarschijnlijk in 1992 per ongeluk heeft geïntroduceerd. Ramey tekent daarbij aan dat hij dat niet zeker weet, omdat hij destijds nog geen gedetailleerde logs bijhield. Tot 12 september bleef de bug in ieder geval voor Ramey zelf onopgemerkt: toen werd hij getipt over het bestaan van het beveiligingsprobleem...

...Inmiddels is de bug grotendeels geplet, al blijkt het in bepaalde gevallen nog steeds mogelijk om eigen code uit te voeren. Een systeem kan bovendien alleen worden beschermd als er een patch beschikbaar is. Het probleem is dat gebruikers apparaten als routers, nas-systemen en zelfs draadloze webcams met een ingebouwde webserver vaak minder snel patchen dan een desktop-besturingssysteem, en daardoor nog jarenlang kwetsbaar kunnen zijn.

Alles bij de bron; Tweakers