El servidor de X-Windows que constituye la base de muchas distribuciones Linux y de otros sistemas operativos como Solaris o Mac OS X se ve afectado por un grave problema de seguridad que puede permitir a un usuario local de la máquina una escalada de privilegios hasta llegar a ejecutar programas con los permisos de root, el usuario que posee la máxima autoridad en la computadora.
Dicha vulnerabilidad, que afecta a los servidores X11R6.9.0 y X11R7.0.0 liberados en Diciembre de 2005, ha sido reportada por la consultora especializada en seguridad Coverity, y los responsables de X.org (organización encargada del desarrollo del servidor gráfico) la han calificado como la más grave desde el año 2000.
Según declaraciones de responsables del proyecto X.org a varios medios de comunicación online, el agujero de seguridad se encuentra ya corregido, aunque después de pasar por su página web, vemos que no hay ningún anuncio oficial al respecto.
Todo por un paréntesis
La explicación del porqué de este fallo a un profano en informática puede parecer ridícula, incluso estúpida: la falta de un paréntesis. No obstante, es algo muy común en programación, y que puede pasar fácilmente inadvertido al repasar el código.
Concretamente, el paréntesis que falta debería encontrarse en una función que comprueba la identidad del usuario, de ahí que el agujero permita la posibilidad de ejecutar código con los permisos de root.
El fallo ha sido encontrado gracias a una herramienta de escaneo automático de código fuente escrita explícitamente para buscar errores de este tipo por la misma compañía, que también está escaneando en busca de fallos de seguridad a otros proyectos open source como NetBSD, KDE, PostgreSQL o Mozilla Firefox.
Más información:
Coverity: Automated Error Prevention and Source Code Analysis
Información sobre los proyectos de código abierto escaneados con la herramienta de comprobación de código de Coverity http://scan.coverity.com/
X.org Foundation
http://x.org/
- Visto: 995

