Linux, troppe le vulnerabilità per l'USB

I ricercatori identificano decine di falle di sicurezza all'interno dei driver di periferica del kernel del Pinguino, un problema che merita maggiore attenzione come confermato dai commenti dello stesso Linus Torvalds
I ricercatori identificano decine di falle di sicurezza all'interno dei driver di periferica del kernel del Pinguino, un problema che merita maggiore attenzione come confermato dai commenti dello stesso Linus Torvalds

I driver per le periferiche USB integrati nel kernel Linux sono letteralmente “imbottiti” di vulnerabilità di sicurezza potenzialmente molto pericolose , denunciano i ricercatori, e nel prossimo futuro la situazione non potrà che peggiorare se gli autori del codice non decideranno di porre maggiore attenzione nelle fasi di test oltre che in quelle di sviluppo .

Il nuovo “problema sicurezza” di Linux è emerso grazie al lavoro di Andrey Konovalov, ricercatore di Google che ha in questi giorni ha informato la community del Pinguino circa l’esistenza di 14 nuove vulnerabilità nel sottosistema USB del kernel.

I 14 bug in oggetto sono in realtà parte di una lista ben più corposa costituita da 79 falle , tutte scovate da Konovalov nel succitato sottosistema USB durante gli ultimi mesi. I bug sono stati individuati grazie a syzkaller , tool per il test automatizzato della sicurezza del codice basato su una tecnica nota come fuzzing .

Buona parte delle vulnerabilità riguardano possibili scenari DoS in cui il sistema operativo va in crash o si riavvia , ma in taluni casi si parla di potenziali elevazioni di privilegi di accesso e dell’esecuzione di codice malevolo tramite accesso fisico al sistema-bersaglio.

In realtà la ricerca di Konovalov non è la prima ad aver svelato la scarsa sicurezza del sottosistema USB di Linux, e proprio la crescente popolarità delle tecniche di fuzzing favoriscono la scoperta dei bug assieme alla loro correzione. O almeno è quello che suggerisce il creatore di Linux Linus Torvalds, in un messaggio alla community (incidentalmente privo di insulti) dove si annuncia l’arrivo della Release Candidate 5 di Linux 4.14.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

09 11 2017
Link copiato negli appunti