Un representante de Yahoo confirmó que 3 de los servidores de la compañía fueron vulnerados por hackers mediante Shellshock, el bug de Bash que se consideró como un problema más grave que Heartbleed.
El analista de seguridad Jonathan Hall fue quien detectó el ataque y lo informó a Yahoo pero, al no recibir respuesta alguna, decidió publicar sus hallazgos en su sitio web con la esperanza de que la compañía reaccionara.
El plan de Hall funcionó, y recibió la respuesta de Yahoo agradeciendo su aviso, mientras que el representante comunicó lo siguiente:
En su post, Hall también menciona que detectó otros ataques similares a Lycos y WinZip, aunque aún no ha recibido respuesta de estas compañías.
Shellshock es un bug de Bash (Bourne Again Shell) que permite la ejecución remota de código malicioso a través de una variable que se ejecuta cuando Bash es invocado, dando oportunidad al atacante de tomar el control de un sistema. La gravedad de la vulnerabilidad también consistía en la cantidad de equipos que se veían afectados por ella, entre ellos los sistemas Mac OS X, Linux y UNIX. El problema fue solucionado, por lo que se recomienda ampliamente actualizar Bash a la versión más reciente.
