Linux ancora in fallo per le chiavette USB

Il kernel di Linux ha notoriamente qualche problema nella gestione delle periferiche USB, e una vulnerabilità scoperta di recente arriva a confermare che basta davvero poco per compromettere gli OS del Pinguino. Almeno, nel caso in oggetto, per quelli che impiegano l’ambiente desktop KDE Plasma .

Classificata come CVE-2018-6791, la falla incriminata permette di eseguire “comandi arbitrari” dalla shell di Linux a partire dall’etichetta di un dispositivo di storage connesso su una porta USB: basta inserire il comando tra i caratteri ” o $(), e il sistema lo eseguirà subito dopo aver collegato la chiavetta e montato il volume corrispondente.

Oltre alla disponibilità di un desktop KDE , l’unico prerequisito per poter sfruttare la vulnerabilità consiste nell’uso del file system VFAT sul volume della chiavetta USB. Di certo la falla è già stata accolta con “ilarità” dalla community dei ricercatori, visto che rimanda a problemi di sicurezza che si credevano estinti già 20 anni fa.

Wow, that sounds pretty horrible. This is why I still mount things the old way, with ‘mount’.

– Mike Gualtieri (@mlgualtieri) 11 febbraio 2018

KDE ha rilasciato le versioni 5.8.9 e 5.12.0 dell’omonimo ambiente desktop per chiudere la falla, mentre qualsiasi versione di KDE Plasma precedente alla release 5.12.0 deve essere considerata come potenzialmente vulnerabile.

Alfonso Maruccia