Engenheiro da Microsoft descobre backdoor no Linux por acidente

Um funcionário da Microsoft descobriu uma importante vulnerabilidade no Linux por acidente que pode ter impedido um impacto de nível global em diversas distribuições do sistema open-source. Trata-se de um backdoor, identificado como CVE-2024-3094 e com pontuação máxima em sua classificação de risco.

A descoberta foi feita por Andres Freund, que trabalha para a Microsoft mexendo com Linux. Ele decidiu investigar porque havia um atraso de 500ms nas conexões do SSH, e acabou percebendo o backdoor integrado ao XZ Utils no sistema em que estava usando.

A vulnerabilidade afeta as distribuições Fedora, Kali Linux, OpenSUSE e Alpine, e recebeu 10 pontos no Common Vulnerability Scoring System (CVSS), que é o valor máximo de risco para uma falha de segurança.

O problema afeta as versões 5.6.0 e 5.6.1 do XZ Utils e a recomendação, neste momento, é usar versões mais antigas do software, que não são afetadas pelo backdoor. Para verificar se o seu sistema está exposto ao risco, o usuário deve usar o comando “xz –version” no SSH, com privilégios de administrador.

Linux está presente em mais lugares do que se imagina

O sistema operacional aberto criado por Linus Torvalds está em apenas uma minúscula fração dos computadores pessoais ao redor do mundo, o que pode levar a crer que esse tipo de falha não seria das mais perigosas – ou que seria mais problemática uma vulnerabilidade no Windows.

O Linux, no entanto, é usado de diferentes maneiras numa imensa variedade de dispositivos, justamente por ser open source. O SteamOS, por exemplo, usado pelo Steam Deck, é baseado em Linux.

Clique aqui para ler mais sobre tecnologia.