Niet veel anders dan programmeurs die een Shell mogelijk maken (PHP) of een shell gebruiken om parameters als environment block door te geven (Apache web-server -- shell-shock) ipv de setenv() functie als basis te gebruiken.

Veilig ontwerpen en bouwen (kwaliteit) staat op gespannen voet met snel leveren van fraaie functionaliteit tegen lage kosten. Niet nieuws, nooit anders geweestm zal ook nooit anders worden. (Edsel Dijkstra)

Zullen we de vraag anders stellen, wanneer leren we dat op moment van privilege down-grading/escalation we extra voorzichtig moeten zijn. Die Sheel-shock is en was geen probleem als het niet gebruikt was in doorgave tussen verschillende security contexts. Selinux kon dat al afvangen.
Het hoogste actieve van chmtl bestanden is net als andere programma's (macro-s) geen probleem als het vertrouwd en gevalideerd aangeleverd is. Echter zo maar programmas gaan draaien die je niet kent dan wel de mogelijkheid daartoe geven is niet zo slim.

Putty is toch een client, geen server? Hoe kun je hiermee nu opdrachten uitvoeren op de besmette computer?

Putty is een client bedoeld om rechtstreek opdrachten ( via telnet prt 23) SSH prt 22 shell opdrachten te geven.
Als putty of welk andere client malware zou bevatten dan kan hij user/wachtwoorden opvangen doorsturen naar CC server dan wel willekeuring ander commando in de server / shell afvuren. Een goed moment zou zijn root-login (meteen schonen) of een arder targeted high privileged account. De keus daarvoor is aan de blackhat-hacker bij hem gaat het kosten/baten.
Een whitehat hacker moet daarvan op de hoogte zijn en daarvoor de maatregelen nemen dan wel aanbevelen.

De shell-shock was schokkend omdat:
- De webserver het binnenkomend verkeer onder onder root rechten afhandeld
- Voor de analyses van de strings de SHELL onder root gebruikt en daarna pas de afhandeling doet met een service account.
Met confinement sluit je het hele webserverproces in en kan je ook met de shell die de string ahandelt niet buiten dat gebied komen. Dat ze de shell aanpassing voor de shellshock hebben aangepast en niet dat die onnodige aanroep er uit gehaald hebben, betekent het wachten is op de volgende lek in de shell die gevonden wordt. Gezien de opeenvolgende meldingen op dat gebied vermoed ik dat er nog wel iets is. Met curl ofwel basic webverkeer kun je opdrachten uitvoeren om de computer te besmetten.

De compiled chtml bestanden is wat eenvoudiger. root ofwel admin gebruik je niet voor het dagelijkse gangbare werk zoals browsen. Doe je dat wel dan tja... Als je programma's start komt het in ieder geval niet buiten die kring.
Het genoemde problem in het artikel is dat mensen verleid worden om een bestand te open, liever gezegd te gaan draaien. Het is meer pishing. Hier uw ontbrekende handleiding van de senseo klik ---hier--- afzender Philips consumerproducts.

Het probleem is natuurlijk dat gewone gebruikers een helpbestand niet met een uitvoerbaar programma associëren. Daarnaast is het moeilijk te begrijpen dat MS wel een "slot" zet op het uitvoeren van macro's in Office-bestanden en dit dus kennelijk niet doet met andere door haar ondersteunde bestandsformaten.

Batch- en ,reg-bestanden en Powershell- en Vbs-scripts worden via NTFS dacht ik wel van een waarschuwing voorzien indien ze een remote oorsprong hebben. Daarnaast kunnen Powershell- en vbs-scripts ook ondertekend worden

Nee, dat is niet waar. Je kan namelijk een attribuut geven aan het bestand, dat doen de meeste webbrowsers. Dus je kan via een downloadprogramma dingen downloaden die niet automatisch worden gemerkt.

Alweer zijn de eindgebruikers de sjaak en als zout in de wond wordt ze gezegd dat ze niet op die ene onschuldig ogende link hadden moeten klikken.

Microsoft had hier sinds Windows XP al sandboxing kunnen toepassen. Waarom laten ze hun betalende klanten zo hard in de steek?

https://web.archive.org/web/20131002223734/http://www.hpl.hp.com/personal/Alan_Karp/polaris/index.html

Als ze via email komen wordt er behoorlijk wat uitgegooid door de email-client. Dat zit in de betere varianten ingebakken. Als de mailserver dat ook nog eens doet is het behoorlijk veilig. Dat zijn wel instellingen op plekken die het gemiddeld huis/tuin/keuken gebruik te boven gaan.
Het zou al helpen als de Linux-omgevingen (veel gebruikte mailservers in publiek domein) ook de troep er af gooien.
Dan moet je het apart renamen om het actief te krijgen als je iets zelf mailt. Als het dan misgaat....

En inderdaad het lijkt er op dat NTFS iets bij houdt waar het vandaan komt. De bekende zones als kenmerk worden bij de files opgeslagen. Als je het later opend is dat kenmerkt er nog steeds en de waarschuwing komt ook.
https://support.microsoft.com/en-us/kb/883260. Er wordt niet verteld of andere tools dan die van MS ook zo reageren. Sorry Anoniem 09:15 het is waar. Alleen moet je MS tools gebruiken of in ieder geval die deze functie ook heeft.