Fallo en X.org Server permite desbloquear el equipo sin autorización

Descubren vulnerabilidad en X.org server en su versión 1.11 que permite a cualquiera de forma fácil desbloquear el equipo sin autorización, tan solo con presionar simultáneamente algunas teclas.

Un bloguero francés ha descubierto el fallo en X.org 1.11, el cual viene incluido en distribuciones como Fedora 16, Ubuntu 12.04, Debian Unstable. Archilinux , Gentoo y otras..

El error consiste en que se puede desactivar el Screensaver del equipo (usualmente utilizado para bloquearlo), mediante la combinación de teclas Ctrl+Alt+* simultáneamente. La última tecla se debe presionar desde el teclado numerico y pueden ser varias las combinaciones. El resultado es que el equipo se desbloquea sin necesidad de conocer la contraseña del usuario.

Según quien descubrió el fallo lo ha podido reproducir en Debian y GNOME 3 y Arch Linux con GNOME 3. También KDE puede ser vulnerable.

El fallo es causado por la opción “AllowClosedownGrabs” que si está activa permite terminar los procesos mediante la combinación de teclas, en este caso el Screensaver.

Esta función fue incluida hace varios años para propósito de pruebas siempre desactivada hasta que dejo de incluirse hace algunos años. Sin embargo, parece que fue reintroducida en el 2011, pero por error la dejaron activada esta vez.

Existe un patch para Fedora 16 que ya corrige el problema, otras distribuciones seguramente lo corregirán de la misma manera o mediante las actualizaciones del sistema.

De acuerdo al autor del descubrimiento de la vulnerabilidad una forma temporal de corregirlo es editar manualmente el xkb y quitar todas las menciones a XF86Ungrab y XF86ClearGrab. También se puede utilizar vlock para bloquear las sesiones de los usuarios.

Más información puede ser encontrada en Gu1’s Website y The H Open

Enlaces de interés:
Página oficial del proyecto X.org | www.x.org/wiki