Microsoft descubrió un importante problema de seguridad en un sistema operativo de gran importancia. La vulnerabilidad fue reportada a fines de abril y corregida a mitad de junio, con lo que los usuarios de ChromeOS quedaron al salvo de esta amenaza. El problema, como suele ocurrir en estos casos, se hizo público más recientemente.
Los defectos de los demás
Por lo general son los ingenieros de Google los que descubren problemas en el software de Microsoft, pero en esta ocasión los roles han cambiado. Más allá de la posible satisfacción de las empresas que encuentran un defecto en el producto de otra, o el orgullo de cada equipo de profesionales involucrado, este tipo de acciones resulta beneficiosa para todo el ecosistema.
El problemas
El defecto encontrado en ChromeOS era bastante grave. Está vinculado al uso de un servicio D-Bus que permite dirigir el audio a un periférico. Como puede ser el caso de unos parlantes conectados a través de un puerto USB, o unos auriculares por Bluetooth. El servicio maneja parámetros de identidad y la función de biblioteca strcpy.
Este último detalles es importante dado que la función está asociada a muchas vulnerabilidades de corrupción de memoria. Por lo general es considerada como una función insegura.
El servicio identificado no realiza chequeos sobre los límites de uso al emplear strcpy. Lo dicho permitiría provocar un exceso de flujo de datos, lo que dejaría a la memoria vulnerable a un acceso no autorizado.
