Linux ancora in fallo per le chiavette USB

Individuato un bug a dir poco imbarazzante negli ambienti KDE Plasma, dove gli utenti rischiano di compromettere il proprio sistema (Linux) semplicemente collegando una chiavetta USB montata in automatico

Roma – Il kernel di Linux ha notoriamente qualche problema nella gestione delle periferiche USB, e una vulnerabilità scoperta di recente arriva a confermare che basta davvero poco per compromettere gli OS del Pinguino. Almeno, nel caso in oggetto, per quelli che impiegano l’ambiente desktop KDE Plasma .

Classificata come CVE-2018-6791, la falla incriminata permette di eseguire “comandi arbitrari” dalla shell di Linux a partire dall’etichetta di un dispositivo di storage connesso su una porta USB: basta inserire il comando tra i caratteri ” o $(), e il sistema lo eseguirà subito dopo aver collegato la chiavetta e montato il volume corrispondente.

Oltre alla disponibilità di un desktop KDE , l’unico prerequisito per poter sfruttare la vulnerabilità consiste nell’uso del file system VFAT sul volume della chiavetta USB. Di certo la falla è già stata accolta con “ilarità” dalla community dei ricercatori, visto che rimanda a problemi di sicurezza che si credevano estinti già 20 anni fa.

KDE ha rilasciato le versioni 5.8.9 e 5.12.0 dell’omonimo ambiente desktop per chiudere la falla, mentre qualsiasi versione di KDE Plasma precedente alla release 5.12.0 deve essere considerata come potenzialmente vulnerabile.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • no chain scrive:
    total recall
    Quando la "tecnologia" (tecnologia?!) del blockchain sarà usata dalle banche e poi dagli stati, avremo il totalitarismo... totale.
  • Roberto Del Martino scrive:
    Come ottenere bitcoin gratis
    Per chi è interessato a guadagnare bitcoin gratis consiglio l'utilizzo di questo sito:https://tinyurl.com/ottienibitcoinoraSi può guadagnare fino a 0.02749128 BTC (200!) ogni ora. Inoltre ai primi tre che si registrano con il link qui sopra manderò un bonus di 0.001 bitcoin. Il sito è molto affidabile, uno dei più famosi nel suo settore.Inoltre consiglio anche questo sito, simile al precedente ma con il quale è possibile ottenere dogecoins, una criptovaluta simile ai bitcoin che sta avendo molto sucXXXXX:https://tinyurl.com/ottienidogecoinoraPer entrambi i siti è sufficiente registrarsi e cliccare sul pulsante "ROLL!" ogni ora per ottenere i bitcoin!
  • Un pochino scocciato scrive:
    Ma cosa è una blockchain?
    Non so ma ai miei tempi una blockhain (strabiliante e nuovissima .... si fa per dire......) si sarebbe chiamata "lista linkata di puntatori crittografata".Il fatto che qualcuno abbia applicato questo concetto alla idea di "registro di transazioni" non ne fa ne una tecnologia nuova ne tantomeno una tecnologia limitata alle cosiddette "criptovalute" che detto tra noi sono tutto tranne che "valute".
    • Gattazzo69 scrive:
      Re: Ma cosa è una blockchain?
      - Scritto da: Un pochino scocciato
      Non so ma ai miei tempi una blockhain
      (strabiliante e nuovissima .... si fa per
      dire......) si sarebbe chiamata "lista linkata di
      puntatori
      crittografata".
      Il fatto che qualcuno abbia applicato questo
      concetto alla idea di "registro di transazioni"
      non ne fa ne una tecnologia nuova ne tantomeno
      una tecnologia limitata alle cosiddette
      "criptovalute" che detto tra noi sono tutto
      tranne che
      "valute".Qualche parolone dovevano metterlo in campo per far credere alla novità o far gridare al miracolo gli sprovveduti.Personalmente non capisco la necessità di impiegare una lista linkata dipuntatori crittografata per archiviare pochi dati personali di utenza della clientela e fornorli poi agli enti interessati...
      • Un pochino scocciato scrive:
        Re: Ma cosa è una blockchain?
        - Scritto da: Gattazzo69
        - Scritto da: Un pochino scocciato

        Non so ma ai miei tempi una blockhain

        (strabiliante e nuovissima .... si fa per

        dire......) si sarebbe chiamata "lista linkata
        di

        puntatori

        crittografata".

        Il fatto che qualcuno abbia applicato questo

        concetto alla idea di "registro di transazioni"

        non ne fa ne una tecnologia nuova ne tantomeno

        una tecnologia limitata alle cosiddette

        "criptovalute" che detto tra noi sono tutto

        tranne che

        "valute".

        Qualche parolone dovevano metterlo in campo per
        far credere alla novità o far gridare al miracolo
        gli
        sprovveduti.

        Personalmente non capisco la necessità di
        impiegare una lista linkataNeanche io capisco ma tant'è.
  • 7b9d0a432e6 scrive:
    Visibile a cani e porci
    Un ID visibile a cani e porci che permetta a tutte le entita private e governative con sufficienti risorse di spiare ogni movimento online dei privati cittadini. Anche questa volta come con UEFI Microsoft si presta a fare il lavoro sXXXXX per conto delle grandi multinazionali.
    • appleuser scrive:
      Re: Visibile a cani e porci
      - Scritto da: 7b9d0a432e6
      Un ID visibile a cani e porci che permetta a
      tutte le entita private e governative con
      sufficienti risorse di spiare ogni movimento
      online dei privati cittadini. Anche questa volta
      come con UEFI Microsoft si presta a fare il
      lavoro sXXXXX per conto delle grandi
      multinazionali.Perché movimento c'è.A qualcuno interessano i ratti fermi?(rotfl)(rotfl)(rotfl)(rotfl)(rotfl)
  • bubba scrive:
    una miscela tra
    una miscela tra brave new world e 1984... bellissimo... ogni info digitale schedata e watermarkata con critto forte... per il ns bene.. e gestita amorevolmente dal Ministero Della Verita' M$
    • panda rossa scrive:
      Re: una miscela tra
      - Scritto da: bubba
      una miscela tra brave new world e 1984...
      bellissimo... ogni info digitale schedata e
      watermarkata con critto forte... per il ns bene..
      e gestita amorevolmente dal Ministero Della
      Verita' M$Ma soprattutto, da non trascurare per niente, il fatto che il nuovo sistema operativo winx, cosi' ben iperconnesso e ultradipendente dalla connettivita', verra' utilizzato per minare i blockchain altrui.L'ignaro utente mettera' a disposizione la propria cpu per l'elaborazione, la propria elettricita' e la propria banda, per M$.Mi chiedo se avra' almeno in cambio il cetriolo o se dovra' pagarsi pure quello (ovviamente il cetriolo sara' obbligatorio).
      • bubba scrive:
        Re: una miscela tra
        - Scritto da: panda rossa
        - Scritto da: bubba

        una miscela tra brave new world e 1984...

        bellissimo... ogni info digitale schedata e

        watermarkata con critto forte... per il ns
        bene..

        e gestita amorevolmente dal Ministero Della

        Verita' M$

        Ma soprattutto, da non trascurare per niente, il
        fatto che il nuovo sistema operativo winx, cosi'
        ben iperconnesso e ultradipendente dalla
        connettivita', verra' utilizzato per minare i
        blockchain
        altrui.in questo caso i redmondcoin... cmq si.
        L'ignaro utente mettera' a disposizione la
        propria cpu per l'elaborazione, la propria
        elettricita' e la propria banda, per
        M$.

        Mi chiedo se avra' almeno in cambio il cetriolo o
        se dovra' pagarsi pure quello (ovviamente il
        cetriolo sara'
        obbligatorio).no pagare no. E' un *servizio*. dopo ogni byte sara' taggato e quindi sparira'(?) il malware il phishing ecc. Ovviamente si perdera' anche il libero arbitrio e compagnia, ma che importa.
      • Panda Assassino scrive:
        Re: una miscela tra
        - Scritto da: panda rossa
        Mi chiedo se avra' almeno in cambio il cetriolo o
        se dovra' pagarsi pure quello (ovviamente il
        cetriolo sara'
        obbligatorio).Ho trovato un cetriolo molto buono nella cantina della volpe, gli hai lasciato un autografo interessante.
        • ... scrive:
          Re: una miscela tra
          ho trovato un cetriolo molto buono di un elefante, gli hai lasciato un autografo interessante.
          • Panda Assassino scrive:
            Re: una miscela tra
            - Scritto da: ...
            ho trovato un cetriolo molto buono di un
            elefante, gli hai lasciato un autografo
            interessante.sì, ho messo una X come autografo, in modo che il panda lo trovi presto.Non cambiare sempre nick, la volpe ti scova ugualmente.
          • Panda Assassino scrive:
            Re: una miscela tra
            sono stupido
          • Panda Assassino scrive:
            Re: una miscela tra
            - Scritto da: Panda Assassino
            sono stupidoIl panda è così <3
Chiudi i commenti