Dopo che è scoppiata la notizia della vulnerabilità di Shellshock, mi sono ricordato che avevo installato la versione di GitHub di una shell bash per Windows. Solo per vedere se avesse anche la vulnerabilità, ho eseguito:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
E tornato:
vulnerable
this is a test
Tuttavia, essendo un sistema Windows, qualcosa di malizioso può essere fatto dalla shell bash di GitHub, oltre a fare casino con i miei repository?
(GitHub v2.0.6.0 130c781) (GitHub v2.4.0.12 34d40b7)
modifica:
env x='() { :;};' bash -c "vi foldername/filename"
Confermando questo puoi modificare i file di sistema di Windows.