Hoy en día podemos encontrar una gran variedad de editores de texto que sirven para mucho más que para escribir, y es que la mayoría de ellos cuenta con funciones como resaltado de sintaxis o auto-completar para muchos lenguajes de programación, algo que es de mucha utilidad para aquellos usuarios que buscan el mejor entorno para programar aplicaciones o diseñar páginas web. Estas funciones normalmente se incluyen en los editores de texto mediante plugins, similares a los de un navegador, aunque, según un informe, parece que estas características pueden estar poniendo en peligro la seguridad de nuestro ordenador.
Hacer una aplicación universal (ya sea un
navegador, un editor de imágenes, e incluso un editor de texto) que se
adapte a los gustos y las necesidades de cada usuario es una tarea muy
complicada, e incluso inviable, porque el tamaño final del programa
sería enorme. Por ello, hoy en día sería imposible imaginarnos
aplicaciones, como Google Chrome, Firefox, Photoshop, WordPress, o
simplemente estos editores de texto, sin extensiones que permitieran a
los usuarios adaptar las plataformas según sus gustos y necesidades,
como, por ejemplo, la sintaxis de un mensaje de programación que vayamos
a utilizar.
Sin embargo, a pesar de su indudable utilidad, la mayoría de las extensiones y plugins
para las aplicaciones están desarrolladas por terceros, y casi nunca
son revisadas, por lo que, si no prestamos atención, podemos llegar a
ejecutar código de otra persona en nuestro sistema, código que
fácilmente puede ponernos en peligro.
Encuentran vulnerabilidades críticas en la forma de cargar las extensiones para los editores de texto
Hace algunas horas se daba a conocer un informe de seguridad de la empresa SafeBreach en el que se informa sobre una serie de vulnerabilidades críticas encontradas al utilizar algunos editores de texto, como Sublime Text, Vim, Emacs y Gedit (aunque podría haber más editores afectados) con extensiones de terceros.
Las vulnerabilidades que se han dado a conocer pueden llegar a permitir a un pirata informático ganar fácilmente privilegios en un sistema operativo,
aunque este utilice una cuenta de usuario normal, que finalmente puede
terminar permitiendo la ejecución de código en la memoria con el máximo
nivel de privilegios.
Esto se debe a que estos editores de texto cuentan con sistemas de carga de extensiones mal programados, en los que no
se diferencia entre una instancia del editor ejecutada con permisos de
usuario y otra instancia ejecutada con permisos de administrador,
o root, algo bastante frecuente (aunque no recomendado) entre algunos
desarrolladores que necesitan probar código. De esta manera, si abrimos
un archivo con permisos de administrador, o root, dentro del programa,
este cargará todas las extensiones con permisos de root, igualmente,
dando a la extensión control absoluto sobre nuestro sistema, pudiendo,
por ejemplo, crear una tarea CRON que se encargue de descargar y
ejecutar algún tipo de malware, o realizar configuraciones permanentes
en el sistema.
Igualmente, si el pirata informático consigue copiar una extensión a
la carpeta de usuario del editor, y la extensión pide permisos de
administrador, cuando el usuario ejecute manualmente el editor, la
extensión de cargará, pedirá la contraseña de superusuario, y finalmente
conseguirá los permisos de root para tomar el control del sistema.
Cómo podemos protegernos de estas vulnerabilidades
Los investigadores de seguridad que han dado con este problema aseguran haber podido demostrar el ataque con editores como Sublime Text, Vim, Emacs y Gedit ejecutados en Linux,
sin embargo, es muy fácil que otros editores (como Atom, o Visual
Studio Code) puedan funcionar de manera similar, incluso que con algunas
técnicas se pueda llevar este vector de ataque a otros sistemas, como
Windows.
La mejor forma de protegernos de estos problemas es bloqueando, si podemos, los permisos de escritura en el directorio de las extensiones
de nuestros editores, para evitar que una extensión maliciosa pueda
llegar, sin permiso, a nuestro sistema, y, además, asegurarnos de
descargar e instalar siempre extensiones de confianza.
Además, próximamente los desarrolladores de los principales editores
de texto personalizables lanzarán nuevas actualizaciones que mitiguen
este problema de seguridad.
Escrito por
Escrito por
0 Comentarios