O Slashdot destaca mais um resultado prático do projeto de auditoria de segurança de softwares de código aberto (segundo o artigo, a lista de 40 softwares inclui Linux, Apache, MySQL e Sendmail) que vem sendo realizado pelo governo dos EUA (mais especificamente, pela empresa Coverity, por encomenda do Departamento de Segurança Interna) que já foi
noticiado no BR-Linux. Desta vez, uma das ferramentas de auditoria automatizada da Coverity encontrou um erro no X11 que poderia levar ao compromisso local de root. Curiosamente, a falha era a ausência de um par de parênteses. Veja o trecho relevante do patch:
- if (getuid() == 0 || geteuid != 0)
+ if (getuid() == 0 || geteuid() != 0)
A Coverity declarou que a descoberta comprova que seu sistema automatizado é capaz de encontrar falhas que o olho humano deixa passar. Daniel Stone, do X.org (uma das implementações do X11 afetadas pelo bug), concordou que esta é uma das mais significativas vulnerabilidades no projeto encontradas em tempos recentes.
Veja o texto completo em
Slashdot | Homeland Security Uncovers Critical Flaw in X11.
Vinícius Medina
Usuário Linux 383765. É um também? Mostre a sua cara!