Una vulnerabilidad de Linux, aún sin parchear, puede permitir a terceros que comprometan los dispositivos, siempre que estén con la conectividad WiFi activa. Los propios desarrolladores de Linux han propuesto ya una posible solución al problema, por lo que se espera que en los próximos días llegue una actualización con dicho arreglo.

Nico Waisman ha sido el ingeniero de seguridad que ha detectado el problema, afirmando a Ars Technica que se trata de "un error grave", que afecta principalmente a todos aquellos ordenadores Linux que tienen el controlador RTLWIFI para admitir chips Realtek.

Un bug que data de 2013

Found this bug on Monday. An overflow on the linux rtlwifi driver on P2P (Wifi-Direct), while parsing Notice of Absence frames.The bug has been around for at least 4 years https://t.co/rigXOEId29 pic.twitter.com/vlVwHbUNmf— Nico Waisman (@nicowaisman) October 17, 2019

La vulnerabilidad, reportada como CVE-2019-17666, se remonta según su descubridor a la versión 3.10.1 del kernel de Linux, lanzada en 2013. Dicho fallo, tal y como ha admitido Linux, permite provocar un desbordamiento del búfer en el controlador Linux RTLWIFI en P2P de (siempre y cuando se esté usando dicho controlador). Esta vulnerabilidad puede explotarse de forma remota, mediante una función de ahorro de energía incluida en WiFi Direct, llamada 'Notice of Absence' (NoA). Dicha función permite que dos dispositivos se conecten vía WiFi sin necesidad de un punto de acceso.

En Genbeta

Así te puedes proteger de quien te quiere robar …