UNIXベースのOSで広く使われているシェル「Bourne Again Shell(Bash)」に重大な脆弱性「CVE-2014-6271」が確認されたことを受け、米Appleは「大多数のOS Xユーザーは安全」とする声明を発表したと、複数の米メディア(New York TimesやCNETなど)が現地時間2014年9月26日に報じた。
問題の脆弱性は「Shellshock」と名付けられ、米国立標準技術研究所(NIST)が出した脅威評価は10段階中「10」(最も重大)だという。攻撃者に任意のコマンドの実行を許可するおそれがあり、2014年春に世間を騒がせたOpenSSLの脆弱性「Heartbleed(心臓出血)」より被害が拡大するともみられている(関連記事:「Bash」に重大な脆弱性、Heartbleed以上に危険との見方も)。
AppleのOS XはUNIXをベースにしているため、同社のパソコン「Mac」も影響を受けると懸念されているが、同社は「OS Xは初期設定でリモート攻撃に対する保護策が講じられているので、大多数のOS XユーザーはShellshockのリスクにさらされていない」と述べている。ただし「高度なUNIXサービスを再構成している場合は攻撃される危険性がある」とし、高度なUNIXユーザーのためにソフトウエアアップデートを早急に配布できるよう取り組んでいるという。
米Googleも声明を発表し、AndroidではBashではなく「Mksh」を使用しているため、問題の脆弱性は存在しないと述べた。しかし複数のセキュリティ専門家は、Androidがオープンソースであるため、多くの企業や開発者がBashを用いてAndroidを調整および統合している可能性を指摘している。
また、米セキュリティ企業のIncapsulaによると、すでにShellshockを狙った攻撃が行われており、24時間で1800以上のWebサイトに対する1万7400件の攻撃を確認した。攻撃の発信源として400個のユニークIPアドレスを特定しており、そのうち55%を中国と米国が占めるという。