Google e Intel han descubierto un conjunto de vulnerabilidades presentes en el sistema operativo de código abierto Linux, bautizadas como BleedingTooth, que afectan a su subsistema de Bluetooth y que permiten ejecutar código de forma remota a los cibercriminales sin permiso de validación.

BleedingTooth (‘diente sangrante’, en inglés) es una vulnerabilidad cero-clic, que puede explotarse sin necesidad de que haya ninguna interacción por parte de los usuarios de los equipos con Linux, como ha explicado el investigador de ciberseguridad de Google Andy Nguyen.

El fallo se encuentra en el subsistema de Linux que gestiona las conexiones Bluetooth, que puede permitir que un atacante ejecute código de forma arbitraria. Para ello solo es necesario que el ‘hacker’ se encuentre a corta distancia, dentro del rango de Bluetooth.

Los equipos de ciberseguridad de Intel describen el fallo como de «gravedad alta» y explican que permite que los atacantes lleven a cabo una escalada de privilegios o la obtención de información.

Entre las tres vulnerabilidad que componen el fallo de seguridad, según Intel, la más grave es la que permite la «validación de entradas indebida» -valorada con una gravedad de 8,3-, mientras que las otras dos implican un «control de acceso indebido» y «restricciones del búfer indebidas».

Intel ha asegurado que BlueZ, la capa de Linux que gestiona la conectividad del sistema, va a lanzar parches de seguridad para solucionar estos problemas. No obstante, Intel recomienda actualizar Linux a la versión 5.10 o superior.