Google e Intel alertan sobre una vulnerabilidad grave de seguridad en Linux [VIDEO]

Tecnología LR

ediciondigital@glr.pe larepublica_pe

18 Oct 2020 | 18:08 h
Intel recomienda actualizar a la versión de kernel de Linux 5.9 o posterior. Foto: composición La República
Intel recomienda actualizar a la versión de kernel de Linux 5.9 o posterior. Foto: composición La República

Esta falla crítica permite ejecutar sin permiso código arbitrario en dispositivos basados en Linux a través de la conexión Bluetooth.

Google e Intel advirtieron sobre un conjunto de vulnerabilidades de alta gravedad en el sistema operativo de código abierto Linux, que afecta a su subsistema de Bluetooth y puede permitir a un atacante tomar control de un equipo sin permiso de validación.

Este fallo de seguridad, bautizado como BleedingTooth, fue descubierto por Andy Nguyen, ingeniero de seguridad de Google, quien dio la alerta a Intel. Se trata de un error de ejecución remota de código “zero-click” presente en todas las versiones de kernel de Linux que admiten BlueZ.

En concreto, BlueZ es la pila de software que, de forma predeterminada, implementa todos los protocolos y capas centrales de la tecnología inalámbrica Bluetooth para dispositivos basados en este sistema operativo.

Nguyen explicó que esta falla puede permitir que “un atacante remoto no autenticado a corta distancia ejecute código arbitrario con privilegios de kernel en dispositivos vulnerables”. Para ello, debe estar dentro del rango del alcance del objetivo y conocer la dirección Bluetooth del equipo en cuestión.

Para demostrarlo, publicó un breve video que evidencia cómo se explota la vulnerabilidad en una computadora portátil Dell XPS 15 con Ubuntu, la cual logró abrir la aplicación de la calculadora en una segunda laptop sin que en esta se realice ningún tipo de acción.

Por su parte, Intel informó que BleedingTooth puede “permitir la escalada de privilegios o la divulgación de información” y recomendó actualizar a la versión de kernel 5.9 o posterior para mitigar esta falla junto a dos vulnerabilidades más de gravedad media, CVE-2020-12352 y CVE-2020-24490.

La compañía también aconsejó instalar las siguientes correcciones del kernel para abordar estos problemas, en caso no sea posible realizar la actualización:

- https://lore.kernel.org/linux-bluetooth/20200806181714.3216076-1-luiz.dentz@gmail.com/

- https://lore.kernel.org/linux-bluetooth/20200806181714.3216076-2-luiz.dentz@gmail.com/

- https://lore.kernel.org/linux-bluetooth/20200806181714.3216076-3-luiz.dentz@gmail.com/

- https://lore.kernel.org/linux-bluetooth/20200806181714.3216076-4-luiz.dentz@gmail.com/

- https://git.kernel.org/pub/scm/linux/kernel/git/bluetooth/bluetooth-next.git/commit/?id=a2ec905d1e160a33b2e210e45ad30445ef26ce0e

Google, últimas noticias:

Video Recomendado

Lazy loaded component