Linux ancora in fallo per le chiavette USB

Individuato un bug a dir poco imbarazzante negli ambienti KDE Plasma, dove gli utenti rischiano di compromettere il proprio sistema (Linux) semplicemente collegando una chiavetta USB montata in automatico
Individuato un bug a dir poco imbarazzante negli ambienti KDE Plasma, dove gli utenti rischiano di compromettere il proprio sistema (Linux) semplicemente collegando una chiavetta USB montata in automatico

Il kernel di Linux ha notoriamente qualche problema nella gestione delle periferiche USB, e una vulnerabilità scoperta di recente arriva a confermare che basta davvero poco per compromettere gli OS del Pinguino. Almeno, nel caso in oggetto, per quelli che impiegano l’ambiente desktop KDE Plasma .

Classificata come CVE-2018-6791, la falla incriminata permette di eseguire “comandi arbitrari” dalla shell di Linux a partire dall’etichetta di un dispositivo di storage connesso su una porta USB: basta inserire il comando tra i caratteri ” o $(), e il sistema lo eseguirà subito dopo aver collegato la chiavetta e montato il volume corrispondente.

Oltre alla disponibilità di un desktop KDE , l’unico prerequisito per poter sfruttare la vulnerabilità consiste nell’uso del file system VFAT sul volume della chiavetta USB. Di certo la falla è già stata accolta con “ilarità” dalla community dei ricercatori, visto che rimanda a problemi di sicurezza che si credevano estinti già 20 anni fa.

KDE ha rilasciato le versioni 5.8.9 e 5.12.0 dell’omonimo ambiente desktop per chiudere la falla, mentre qualsiasi versione di KDE Plasma precedente alla release 5.12.0 deve essere considerata come potenzialmente vulnerabile.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

16 02 2018
Link copiato negli appunti