Monday, February 25, 2008

Cuantificando la seguridad

Siguiendo el tema de la vulnerabilidad de vmsplice, ya que en el anterior post hablaba sobre cronometrar la seguridad ahora toca cuantificarla.

Debido al gran revuelo causado, apareciendo en todos los blogs y sitios de noticias, aparte de sonar bastante grave "fallo de seguridad en el kernel", uno podría pensar que se trata de algo bastante grave. Pero debido a que se necesita acceso a ejecución local, ya que "sólo" se trata de una escalada de privilegios, los expertos no lo consderan tan grave. Como ejemplo, en secunia está valorado con 2 sobre 5 puntos posibles.

Después de todo, lo que se consigue ejecutando el exploit es lo mismo que en el Vista haciendo click en "Aceptar" cada una de las 60 veces cada hora que sale el dichoso aviso.

No comments: