Pplware

Linux tem mais uma falha grave de segurança

Se há sistemas operativos que são tidos como seguros o Linux é um deles. A sua estrutura e a forma como foi desenhado tem por base uma ideologia de permissões que garantem essa segurança.

Mas como qualquer outro sistema operativo, o Linux também tem vulnerabilidades. A mais recente afecta a maioria das distribuições e requer apenas um ficheiro de música para poder ser explorada.

O Linux tem estado a apresentar nos últimos tempos vulnerabilidades graves e que colocam em causa a segurança dos sistemas e os dados dos seus utilizadores. Resultam de falhas que demoram anos a ser descobertas e que agora estão a surgir.

A mais recente falha foi descoberta por Chris Evans, um investigador de segurança e sabe-se que afecta a quase totalidade das distribuições que estão disponíveis para instalação, incluindo as mais recentes como o Fedora 25 ou o Ubuntu 16.04 LTS.

Segundo que é descrito, a falha está numa biblioteca áudio, a Game Music Emu, que permite a emulação de áudio de consolas como a SNES. Ao ser explorada, e para isso basta um ficheiro com código malicioso, o atacante consegue correr qualquer código que queira, expondo o sistema e os dados do utilizador.

Para complicar ainda mais, para poder ser explorada a falha existe uma particularidade. Basta que o Chrome esteja instalado no sistema para que este esteja vulnerável.

Para propagar este ficheiro malicioso, basta alterar-lhe o nome para .flac ou .mp3 e deixá-lo disponível para download. Assim que este for executado o código malicioso entra em acção e depende apenas do atacante.

A falha está identificada por Chris Evans e resulta na falta de segurança com que este tipo de ficheiros é tratado. Ao contrário do que é normal não correm dentro de uma sandbox para ser isolado do sistema.

Deverá em breve ser lançada uma actualização que resolverá esta falha grave. Esta não é apenas uma prova teórica de uma falha que pode vir a ser explorada. Ela é real e pode facilmente ser usada para atacar estes sistemas.

Com esta falha surge mais uma prova de que não existem sistemas totalmente seguros e que o Linux, tal como os restantes sistemas, está exposto e tem problemas de segurança.

via: Chris Evans

Exit mobile version