Barrapunto

1) Se trata de un método para crear un troyano. Es sencillo e inapelable.
2) La escalada de privilegios es otro problema más que tambien debe resolverse.
3) Ambos son fallos de lógica. El primero es por ejecutar código puesto en un archivo no ejecutable, simplemente haciendo doble click sobre el archivo. Es un fallo de lógica que tiene una única solucion aceptable: igualar el comportamiento de seguridad consecuentemente con el resto de ficheros unix: los .desktop deben tener el +x para ser interpretados como ejecutables, y deben tener una cabecera consecuente. Unix es fuerte por no tener excepciones. Todo debe comportarse igual, tenga el nombre que tenga el archivo.
El segundo es también un fallo de lógica: el usuario no puede poder modificar ni sobreescribir ningún elemento estandar del sistema que le vaya a pedir la contraseña para actuar como root. Gnome y Kde deben corregir esto también. No es lo mismo que el synaptic te pida el password, que un nuevo icono en el escritorio te pida el password. En un caso sopechas algo, en el otra no. No es un problema en absoluto del "sudo", que no tiene la culpa. Es un problema de diseño del gnome y del kde.

Este fallo de los .desktop no es ninguna chorrada. Es parecido a cuando el windows te oculta las extensiones conocidos, con lo que una fotocachonda.jpg.exe se queda en fotocachonda.jpg. No quiero que en unix tengamos que poner un UAC como el del vista, porque está mal diseñado. El comportamiento de los .desktop hay que cambiarlo.

Adicionalmente, y con las nuevas etiquetas de ext4, se puede mejorar todavía más la seguridad de los ejecutables en linux. Pero para eso ya haba tiempo, y para llegar bien ahí, todo debe ser igual. Nada de excepciones.
Notas:
- La variedad de distribuciones no han ayudado en NADA a la resolución de este problema. Por ejemplo, la situación de /usr/bin/env varía según las distros, con lo que no se puede usar. La variedad de distros no ha aumentado la seguridad, sino que pone más dificultades para llegar a rápida una solución.

buena discusión (excelente final): discusión [netbsd.se].

Voto por la aportación de Molleradura como la más útil y centrada de esta discusión (y de muchas más en Barrapunto).

• El tutorial discutido no es para hacer un virus, sino un TROYANO que sigue dependiendo de muchas condiciones para cumplir su cometido.
• Para continuar construyendo la confianza en sistemas libres tipo *n*x, hay que estar abiertos a identificar posibles huecos como el que se abre debido a la excepción en el tratamiento de los ".desktop". Por lo que se agradece la alerta que enciende el autor del tutorial (aunque la denominación del problema sea incorrecta).
• Hay que darle su respectiva etiqueta a esta falla para tratarla como lo que es, ¿o vamos a ponernos a generar/instalar "anti*virus*" que consuman la mitad de los recursos sólo para evitar que la gente imprudente haga doble clic en un archivo?.