| Asunto: | Descubren grandes fallas en la seguridad de Unix y Linux | | Fecha: | Martes, 19 de Septiembre, 2000 12:40:53 (-0300) | | Autor: | Betina Ortega <grow @.........ar>
|
Descubren grandes fallas en la seguridad de Unix y Linux
Expertos en seguridad informática -entre ellos un argentino- revelaron una
nueva clase de vulnerabilidad en la seguridad de los sitemas operativos Unix
y Linux. El bug permite a un hacker tomar el control total de una PC. El
Sitio entrevistó a uno de los especialistas que descubrieron la falla en los
sistemas operativos de código abierto.
Por Christian Jacob
Expertos en seguridad informática descubrieron una nueva clase de
vulnerabilidad en la seguridad de los sistemas operativos Unix y Linux que
permite a un hacker desde borrar archivos hasta tomar el control de una PC.
La falla, hallada por Ivan Arce, presidente de la firma de seguridad
informática Core SDI, fue bautizada como vulnerabilidad de caracteres de
formato (format string vulnerability, en inglés). Entrevistado por El Sitio,
Arce explicó en detalle el bug.
Según el especialista, los sistemas operativos Unix y Linux pueden utilizar
varios idiomas, de manera tal que cuando un programa tiene que dar un
mensaje a un usuario busca en una base de datos el mensaje correspondiente
en el idioma que está configurado.
El problema está en que un usuario puede indicarle al programa que a la
hora de buscar los idiomas apropiados utilice una base de datos creada por
el. Y un hacker puede armar una base de datos que haga corresponder al
pedido una cadena de caracteres de formatos. Esa cadena hace que la función
que muestra el mensaje se comporte de una manera distinta a la prevista por
quien hizo el programa. De hecho, esa manera distinta puede hacer que
ejecute cualquier instruccion que el atacante indique.
Para Arce "una vulnerabilidad de este tipo surge cuando es posible indicarle
a un programa que utilice una cadena de caracteres de formato arbitraria,
especificada por el atacante. Esto es algo que no deberia permitirse si los
programas estuvieran hechos de manera segura".
Permitir a un hacker convertirse en el administrador de un sistema es muy
peligroso. Un atacante puede hacer daños tales como borrar bases de datos o
contraseñas. Y aún en caso de que las computadoras no contengan información
importante, la PC puede ser usada como canal en un ataque de negación de
servicio (DDoS, por sus siglas en inglés). Ataques de ese tipo derribaron a
sitios Web como Yahoo! en febrero pasado.
Para desuscribirte de este grupo envía un e-mail a:
magiavirtual-unsubscribe@egroups.com
diseñadora gráfica
GROW PUBLICIDAD
|
Descubren grandes 
Responder a este mensaje