Un error en el código fuente de la biblioteca GnuTLS, software de código abierto utilizado en distintas distribuciones de Linux para manejar las conexiones seguras de Internet, podría resultar en una grave amenaza para la privacidad de los usuarios de Linux. Los desarrolladores se apresuraron a parchar dicha vulnerabilidad.
Nikos Mavrogiannopolous, el desarrollador de GnuTLS, anunció el lunes mediante un mensaje de lista de correo, que había implementado una solución que repara la vulnerabilidad para el código fuente . La falla habría permitido a un atacante suplantar al sistema GnuTLS para la verificación de certificados, la exposición de conexiones supuestamente seguras utilizadas para espionaje sigiloso.
Mediante la creación de un tipo específico de certificado falso, un atacante podría engañar a GnuTLS para que acepte dicho certificado como legítimo, concediendo así acceso a otra conexión en modo seguro. Hecho esto, el intruso podría monitorizar el flujo de tráfico a través de la conexión en texto plano, e incluso interponer código propio, que podría abrir nuevas vías de ataque.
Mavrogiannopolous, quien calificó el fallo como "vergonzoso", dijo que el problema fue descubierto durante una auditoría realizada en nombre de su empresa, Red Hat. Algunas de las principales distribuciones de Linux ya han tomado medidas para aplicar el parche de Mavrogiannopolous, según un aviso de seguridad publicado por LWN.net. Ubuntu, Debian, Fedora, Red Hat, Oracle, Slackware y SUSE han liberado actualizaciones destinadas a reparar la vulnerabilidad.
La noticia se produce días después de que Apple reparó un problema similar en su propio software, que había expuesto a los usuarios de iOS y OS X ante ataques similares de man-in-the-middle (hombre en medio). Gracias al gran alcance con los consumidores de los productos de Apple, el problema recibió una gran atención por parte de algunos analistas, que incluso, atribuían motivaciones siniestras a la aparente lentitud de Apple en la reparación de los fallos.
0 comentarios:
Publicar un comentario