Prácticamente, aunque Google no tuvo la culpa de la falla de seguridad en el kernel de Linux, utilizada abiertamente en Android, la gigante de Internet no tuvo reparos en dar su grano de arena pero el stress de algunos puede hasta ser injustificado.
Esta semana se había revelado que el kernel de Linux tenía un hueco de seguridad llamado CVE-2016-0728 por Perception Point y Red Hat, donde la falla, que se deriva de la planta llavero o keyring del kernel, permite que las aplicaciones que se ejecutan bajo un usuario local para ejecutar código en el kernel y como resultado, un atacante con acceso sólo a una cuenta limitada en un sistema Linux puede escalar sus privilegios de root.
El kernel de Linux es el núcleo de todos los sistemas operativos basados en Linux, incluyendo Android. Su facilidad de keyring que proporciona una forma para que las aplicaciones para almacenar información confidencial, como autenticación y encriptación de llaves en el interior del núcleo, donde otras aplicaciones de espacio de usuario no pueden acceder a ella y en graves situaciones, solo con jugar con el RAM de un sistema es suficiente para explotar la falla.
Ahora, Google anunció a través de Adrian Ludwig, líder del grupo que trabaja la seguridad de Android que ya Google emitió sus arreglos del kernel para Android y que fueron desplegados a AOSP y se le dio una descripción de los socios manufactureros de cómo resolver pero aclaró que aunque muchas distribuciones de Linux pudieran estar afectadas, Android en particular cuenta con políticas que prohíben a las aplicaciones que no acceder a niveles del kernel bajo el módulo Security-Enhanced Linux (SELinux).
A propósito, Ludwig minimizó el impacto y tildó de exagerado que el 66% de equipos Android estén afectados con la situación y que si hay un porcentaje SUMAMENTE menor de usuarios que pudieran estar expuestos y sobre todo, usuarios con Android 4.4 KitKat no cuentan con el kernel afectado que se dice es la versión 3.8.
Aun así, los grupos de seguridad pidieron a no bajar la guardia y no descartar cualquier peligro, sobre todo si distribuidores de sistemas operativos con Linux no avanzan a hacer arreglos.
[button color=”red” size=”medium” link=”http://www.computerworld.com/article/3024254/security/linux-kernel-flaw-endangers-millions-of-pcs-servers-and-android-devices.html” icon=”” target=”false”]Acerca de la falla (Computer World)[/button] [button color=”blue” size=”medium” link=”http://www.csoonline.com/article/3024950/security/google-creates-fix-for-zero-day-kernel-flaw-says-effect-on-android-is-greatly-exaggerated.html” icon=”” target=”false”]Vía CCSOnline[/button]
https://plus.google.com/+AdrianLudwig/posts/KxHcLPgSPoY
