Roberto Pulito

Falsa partenza per Linux

Individuata (e corretta) una falla di sicurezza nell'autorun via USB di Ubuntu, che consentiva di accedere al desktop senza inserire alcuna password

Roma - L'utilissima funzione che consente di lanciare automaticamente un eseguibile presente su supporto esterno ha messo in crisi anche il Pinguino. Un esperto di sicurezza IBM ha scoperto che i malware possono utilizzare l'autorun come vera e propria scorciatoia d'ingresso, passando da una penna USB.

In teoria, un malintenzionato potrebbe scavalcare lo screensaver attivo, superare le difese di Address Space Layout Randomization (ASLR) e AppArmor per poi arrivare a raggiungere i dati nella home, sfruttando un problema legato alla gestione dei font nel gestore di documenti GNOME. Nella dimostrazione effettuata alla conferenza ShmooCon 2011, le barriere di Linux sono state abbassate proprio per simulare lo scenario d'attacco.

Per la precisione, il sistema scopre il fianco quando viene avviato in background il file browser Nautilus e il problema si manifesta solamente nel momento in cui il processo è impegnato a leggere dal supporto esterno per creare la miniature della classica anteprima, con i file DVI. Passando da questa porta socchiusa sarà possibile ottenere gli stessi privilegi dell'utente autenticato ma non quelli di root.
La vulnerabilità individuata (e tamponata) in questi giorni fa comunque riflettere. Virus e worm utilizzano l'autorun via USB fin dall'alba dei tempi e, per questo motivo, sempre più sistemi operativi stanno scegliendo di disattivare per sempre il comodo automatismo, nato per facilitare la vita degli utenti meno smaliziati.

Roberto Pulito
Notizie collegate
  • SicurezzaMicrosoft: come eliminare l'AutorunLa patch proposta nell'ultimo pacchetto mensile di update, anche se fra gli aggiornamenti opzionali. Per arginare certi worm
  • TecnologiaLinux a 200 all'oraUna miracolosa mini-patch allevia lo stress del kernel con sole 200 righe di codice extra. Oppure ne bastano 4 in un singolo file di configurazione. Ma secondo Microsoft il Pinguino è alla frutta
119 Commenti alla Notizia Falsa partenza per Linux
Ordina
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 14 discussioni)