lunes, 23 de enero de 2012

Vulnerabilidad en X.org Server permite desbloquear el equipo sin autorización

Hoy me he enterado de una falla bastante curiosa presente en Fedora 16 y en otras distribuciones: El problema radica en que se puede desactivar el Screensaver del equipo (usualmente utilizado para bloquearlo), mediante la combinación de teclas Ctrl+Alt+* simultáneamente. La última tecla se debe presionar desde el teclado numerico y pueden ser varias las combinaciones. El resultado es que el equipo se desbloquea sin necesidad de conocer la contraseña del usuario.

Cito textualmente [1]:

El fallo es causado por la opción “AllowClosedownGrabs” que si está activa permite terminar los procesos mediante la combinación de teclas, en este caso el Screensaver.
Esta función fue incluida hace varios años para propósito de pruebas siempre desactivada hasta que dejo de incluirse hace algunos años. Sin embargo, parece que fue reintroducida en el 2011, pero por error la dejaron activada esta vez.
Por tanto técnicamente no es una vulnerabilidad, sino un descuido de los desarrolladores al dejar un método de prueba ¡Descomentado! Cosas que pasan en el mundo del desarrollo de software.

Sin embargo, ya hay un parche que corrige este problema en Fedora. (Por favor, actualiza ejecutando en una terminal yum update).

¿Y cuál es el objetivo de esta nota? La primera es llamar la atención del usuario Linux: No estamos excentos de fallas ni vulnerabilidades y tampoco de descuidos de los desarrolladores cuando les falta café, pero cuando suceden, los tiempos de respuesta de la comunidad son sorprendentemente rápidos teniendo el parche disponible en cuestión de horas. (Parecido a Windows Update ¿Cierto?)

Por último, sobra recalcar la importancia de mantener tu sistema operativo al día, así que si aun no has actualizado ¡Manos a la obra!

--
[1] Fuente y noticia original plagiada de:
Espacio Linux

1 comentario: