Las distribuciones GNU/Linux tienen un problema con la seguridad de WebKit, debido principalmente a la negligente política de actualizaciones que siguen la mayoría de distros respecto de este software, tal como nos comenta Michael Catanzaro, desarrollador de GNOME y Webkit en su blog.
WebKit es utilizado como motor de renderizado para navegadores como Safari en Apple (donde recibe actualizaciones regulares y por lo tanto ahí no tiene mayores problemas) y multitud de aplicaciones en Linux que llevan integradas un motor de navegación, tanto ligadas al entorno GNOME (Geary, GIMP, Geany, GNOME Documents, Rhythmbox, GNOME Web, Evolution, Shotwell, GNOME Help, Banshee, Anjuta…) mediante WebKitGTK, como en KDE donde algunos proyectos (Amarok, Calligra, Kdevelop, Kmail, Kontact, Ktorrent, Quassel, Rekong, Tomahawk) todavía siguen usando el obsoleto y escasamente mantenido QtWebKit en lugar de QTWebEngine, basado en Chromium y más seguro.
Un problema con WebKit es que no tiene un sistema de aislamiento de procesos (sandboxing) en Linux que funcione adecuadamente (de hecho viene deshabilitado de forma predeterminada), como si ocurre en el caso de Chromium. Lo que deja a navegadores web (como Epiphany o Rekong), clientes de correo (kmail o evolution) además de otras aplicaciones expuestas a vulnerabilidades de seguridad, que podrían facilitar la instalación de malware u otro tipo de ataques
Hasta ahora las actualizaciones de WebKitGTK+ han corregido problemas de seguridad e implementado nuevas características en cada nueva versión, como pasa en cualquier software. Sin embargo hasta hace poco no habían utilizado identificadores CVE (Common Vulnerabilities and Exposures) que pusieran en preaviso a los desarrolladores de las diferentes distribuciones.
Así nos encontramos distribuciones como Ubuntu 14.04 LTS pendientes de actualizar a 2.4.9 que soluciona un importante bug o la última Ubuntu 15.10 que está todavía en WebKitGTK 2.8.5 sin actualizarse desde su lanzamiento y con más de 40 vulnerabilidades (nombramos a Ubuntu, simplemente porque es las usada y cuenta con innumerables derivadas)
En Debian directamente se desentienden del asunto y aconsejan el uso de navegadores como Iceweasel o Chromium, en vez de aquellos construidos sobre motores web webkit, qtwebkit and khtml, especialmente si se visitan páginas que no son de confianza.
En resumidas cuentas, hasta que cambie la política de algunas distros que priman la compatibilidad y “el no romper cosas” respecto de la seguridad general (por lo menos en lo que se refiere a WebKit), tan solo distribuciones rolling releases, que suelen tener todos sus paquetes a la última como openSUSE Tumbleweed, Arch Linux y sus derivadas, Debian Unstable…o distros como Fedora que tienen desarrolladores que también colaboran en WebKit, son las únicas que ofrecen garantía de ejecutar versiones seguras de este software.
En el artículo de Michael Catanzaro tenéis mucha más información, incluyendo otros aspectos como el internet of things (ahí perded ya toda esperanza) o el problema que se plantea en KDE a la hora de migrar aplicaciones de QtWebKit a QtWebEngine.
Fuente: lamiradadelreplicante
