--------------------------------------------------------------------------------




Se ha cumplido la amenaza, y el viernes 4 de julio, el grupo de hackers que intentó extorsionar a Microsoft publicó una descripción detallada de como ejecutar Linux en consolas Xbox sin modificar. El pasado día 3 de julio, en r-irix.com se publicó un artículo relacionado con la amenaza de este grupo ( http://www.r-irix.com/articulo.php?idart=183) que amenazaba con publicar dicha información si Microsoft no publicaba un "boot loader" de Xbox en su versión para Linux.

El grupo de hackers, ha dejado de mantenerse en el anonimato y se identifac como Free-X, requería a Microsoft documentaci´´on sobre Xbox para poder desarrollar una "solución Linux para Xbox". A cambio, Free-X ofrecería a Microsoft información inédita sobre hacking, códigos fuente, junto con acuerdo de informar a Microsoft sobre futuros hallazgos de este grupo, especialmente agujeros de seguridad que se encontraran en productos de Microsoft.

Free-X ha emitido un comunicado en el que recalca que en ningún momento tuvieron la intención de amenazar o extorsionar a Microsoft, y que lo único que deseaban era una respuesta a la propuesta por parte de Microsoft. Free-X ha declarado que "plantean deseos, y no exigencias". Cumpliendo la advertencia, y ante la desestimación por parte de Microsoft, publicaron la información en el plazo señalado.

Tal y como sospecho Michael Muir, la vulnerabilidad explota un bug en Dashboard, herramienta que se ejecuta cuando falta un disco en la unidad de la consola. Dashboard controla los archivos ejecutados comparándolos con valores SHA1 almacenados en el sistema. No obstante, este procedimiento no aplica a archivos con extensión .wav o .xtf. Así pues, la vulnerabilidad se encuentra en el cargador de fuente, que es susceptible de ser explotado mediante un archivo de fuente para ejecutar código arbitrario.

Los detalles de este procedimiento se encuentran en el enlace:
http://lists.netsys.com/pipermail/full-disclosure/2003-July/010895.html