MADRID, 15 Oct. (Portaltic/EP) -
Google e Intel han descubierto un conjunto de vulnerabilidades presentes en el sistema operativo de código abierto Linux, bautizadas como BleedingTooth, que afectan a su subsistema de Bluetooth y que permiten ejecutar código de forma remota a los cibercriminales sin permiso de validación.
BleedingTooth ('diente sangrante', en inglés) es una vulnerabilidad cero-clic, es decir, que puede explotarse sin necesidad de que haya ninguna interacción por parte de los usuarios de los equipos con Linux, como ha explicado el investigador de ciberseguridad de Google Andy Nguyen.
El fallo en cuestión se encuentra presente en el subsistema de Linux que gestiona las conexiones Bluetooth, que puede permitir que un atacante ejecute código de forma arbitraria con privilegios del 'kernel'. Para ello solo es necesario que el 'hacker' se encuentre a corta distancia, dentro del rango de Bluetooth.
El fallo de seguridad ha sido advertido también por los equipos de ciberseguridad de Intel, que lo han descrito como de "gravedad alta" y explican que permite que los atacantes lleven a cabo una escalada de privilegios o la obtención de información.
Entre las tres vulnerabilidad que componen el fallo de seguridad, según Intel, la más grave es la que permite la "validación de entradas indebida" -valorada con una gravedad de 8,3-, mientras que las otras dos implican un "control de acceso indebido" y "restricciones del búfer indebidas".
Intel ha asegurado que BlueZ, la capa de Linux que gestiona la conectividad del sistema, va a lanzar parches de seguridad en el 'kernel' del sistema para solucionar estos problemas.
No obstante, Intel recomienda actualizar el 'kernel' de Linux a la versión 5.10 o superior, aunque este parche del sistema aún no se ha lanzado actualmente, según ha asegurado Nguyen.