Um programador da Red Hat, uma distribuição Linux, descobriu um bug que permitia que um hacker pudesse criar um certificado capaz de ignorar as verificações normais de autenticidade. De acordo com reportagem do Phys.org,
o problema, que estava presente no sistema há mais de dez anos, já foi
corrigido pela Red Hat, que enviou alerta imediato aos usuários
sugerindo a atualização do sistema. O responsável pela façanha foi o
programador Nikos Mavrogiannopoulos.
O
erro de programação, chamado internamente de CVE- 2014-0092, envolve
uma biblioteca de funções usada para solicitações de certificado de
processamento, conhecida como GnuTLS. Em muitos aspectos, o erro é
semelhante a uma falha de segurança que surgiu recentemente no iOS e no
OS X. Em todos esses casos, o problema está no uso do comando GOTO (algo
como “ir para”), um código que tem sido criticado há anos por vários
programadores.
Os
comandos GOTO permitem que, a partir de um comando condicional, a
execução do sistema vá diretamente para outra parte do código, em uma
espécie de atalho que, para muitos, é visto como “gatilho”. Como os
programadores não podem prever todos os resultados possíveis dos
comandos condicionais, surgem muitas possibilidades de erro – como é o
caso da distribuição da Red Hat.
Caso um hacker
descobrisse a falha, ele poderia fazer com que seus próprios
certificados fossem autenticados em lugar dos originais, permitindo, por
exemplo, descriptografar dados. Isso, claro, poderia afetar muitos
usuários do Linux, especialmente da distribuição Red Hat – que é muito comumente utilizada como um sistema operacional de servidor web.
O Linux é um sistema operacional de código aberto,
o que significa que milhares de pessoas podem acessar e modificar seu
código-fonte, o que torna surpreendente o fato do bug ter passado
despercebido por tanto tempo. Segundo a Red Hat, as correções foram
feitas em praticamente todas as variantes do Linux.
Mas há a possibilidade de que nem todos os usuários saibam do problema,
mantendo-se na versão problemática, o que pode manter o bug em muitos
servidores web e em outros sistemas ao redor do mundo.
fonte: http://canaltech.com.br/noticia/seguranca/Programador-da-Red-Hat-descobre-grande-falha-de-seguranca-no-Linux/
fonte: http://canaltech.com.br/noticia/seguranca/Programador-da-Red-Hat-descobre-grande-falha-de-seguranca-no-Linux/
Nenhum comentário:
Postar um comentário