Alfonso Maruccia

Fedora e Ubuntu, bug scoperto e risolto

Almeno due falle serie scovate nelle distro Linux più celebri in circolazione. Già pronte le patch, che conviene installare il prima possibile

Roma - L'esperto di sicurezza Chris Evans ha individuato un problema in una libreria "standard" dei sistemi operativi basati su Linux, una falla che può essere sfruttata con relativa facilità per compromettere i dati degli utenti. Fedora e Ubuntu sono i target principali, anche se una patch è già disponibile.

Il baco scoperto da Evans risiede all'interno del codice per l'emulazione di SPC700, chip realizzato da Sony e impiegato da Nintendo per l'unità di processing audio della storica console Super Nintendo (S-SMP). Il codice incriminato è parte integrante della libreria Game Music Emu/libgme, una tecnologia utilizzata per l'emulazione dell'audio delle console.

L'exploit ideato dal ricercatore porta libgme a una corruzione di memoria e necessita solo dell'apertura di un singolo file musicale codificato nel formato del Super NES (SPC); cambiando l'estensione da spc a flac, dice Evans, è possibile compromettere un sistema Fedora (25) costringendo l'utente a visitare una pagina Web con un link appositamente realizzato. In formato mp3, invece, il file audio contenente l'exploit è in grado di compromettere i lettori multimediali installati in locale con la semplice apertura della cartella contenente la clip.

L'exploit è stato testato con successo su Fedora e Ubuntu (16.04 LTS), ed è probabilmente valido per compromettere anche altre distribuzioni Linux concorrenti: i limiti alle credenziali dell'utente tipici del mondo FOSS possono aiutare a mitigare i danni, ma il rischio di compromettere account online, documenti e altre risorse preziose - e probabilmente private - non è certo da prendere sotto gamba. Una versione aggiornata di Game Music Emulator (0.6.1) a prova di bug è già stata distribuita per le due distro prese in considerazione da Evans.

Un'altra serie vulnerabilità di alto profilo, questa volta individuata su Ubuntu da Donncha O Cearbhaill, riguarda invece il tool per il report dei crash chiamato Apport: codificando un file di crash malformato, il ricercatore è riuscito a mandare in esecuzione del codice Python arbitrario.

Anche in questo caso il rischio più grave è l'esecuzione di codice malevolo da remoto, e le patch sono già state distribuite dagli sviluppatori Canonical. L'esperienza è infine servita a O Cearbhaill per prendere coscienza di una realtà poco nota nel mondo della ricerca, vale a dire il fascino crescente dei soldi offerti da chi vorrebbe accedere ai dettagli sui bug in anticipo sulle aziende vulnerabili. Un non meglio precisato soggetto di terze parti ha infatti offerto 10.000 dollari per il baco prima ancora che la ricerca su Apport fosse conclusa.

Alfonso Maruccia
Notizie collegate
26 Commenti alla Notizia Fedora e Ubuntu, bug scoperto e risolto
Ordina
  • (Atto II)

    Bug che vengono corretti con tempestività fulminea. A qualcuno fa strano?
    Shiba
    3900
  • Si, fa strano a chi non ha mai installato Linux, e aspetta con trepidazione gli aggiornamenti mensili di mamma Apple o papà Microsoft. Che arrivano sempre al momento sbagliato.
    non+autenticato
  • Nooo tutti i fan Apple dicono ce se non c'è un'azienda solida dietro, come è la loro Apple, non puoi avere qualità e supporto nel tempo...

    Sfido i Mac e MacOSX a supportare tutto l'hardware che supporta Linux.
    iRoby
    7972
  • - Scritto da: iRoby
    > Nooo tutti i fan Apple dicono ce se non c'è
    > un'azienda solida dietro, come è la loro Apple,
    > non puoi avere qualità e supporto nel
    > tempo...
    >
    > Sfido i Mac e MacOSX a supportare tutto
    > l'hardware che supporta
    > Linux.

    E quale sarebbe tutto questo hardware?
    non+autenticato
  • - Scritto da: 10713
    > - Scritto da: iRoby
    > > Nooo tutti i fan Apple dicono ce se non c'è
    > > un'azienda solida dietro, come è la loro
    > Apple,
    > > non puoi avere qualità e supporto nel
    > > tempo...
    > >
    > > Sfido i Mac e MacOSX a supportare tutto
    > > l'hardware che supporta
    > > Linux.
    >
    > E quale sarebbe tutto questo hardware?

    Quasi nulla, visto che lo installi su sistemi embedded e su supercomputer, passando per router, pc, server, telefoni... Ci sono n-mila driver di periferiche di ogni genere direttamente nel kernel...

    Ma perchè vi piace fare la figura degli stupidi?
  • - Scritto da: Elrond
    > - Scritto da: 10713
    > > - Scritto da: iRoby
    > > > Nooo tutti i fan Apple dicono ce se non
    > c'è
    > > > un'azienda solida dietro, come è la loro
    > > Apple,
    > > > non puoi avere qualità e supporto nel
    > > > tempo...
    > > >
    > > > Sfido i Mac e MacOSX a supportare tutto
    > > > l'hardware che supporta
    > > > Linux.
    > >
    > > E quale sarebbe tutto questo hardware?
    >
    > Quasi nulla, visto che lo installi su sistemi
    > embedded e su supercomputer, passando per router,
    > pc, server, telefoni... Ci sono n-mila driver di
    > periferiche di ogni genere direttamente nel
    > kernel...
    >
    > Ma perchè vi piace fare la figura degli stupidi?

    La figura l'hai fatta tu dato che non hai proprio capito la domanda. Rotola dal ridere
    non+autenticato
  • - Scritto da: Shiba
    > (Atto II)
    >
    > Bug che vengono corretti con tempestività
    > fulminea. A qualcuno fa
    > strano?

    Falso, l'exploit pubblico funzionante, tramite semplice navigazione internet con chrome, è stato pubblicato a metà novembre, è passato circa 1 mese da quanto è stata rilasciata questa patch, quindi la stessa tempistica di Microsoft in caso di 0-day exploit
    non+autenticato
  • Mi era sfuggito: puoi indicarmelo per favore?

    Grazie.
  • - Scritto da: finetto
    > - Scritto da: Shiba
    > > (Atto II)
    > >
    > > Bug che vengono corretti con tempestività
    > > fulminea. A qualcuno fa
    > > strano?
    >
    > Falso, l'exploit pubblico funzionante, tramite
    > semplice navigazione internet con chrome, è stato
    > pubblicato a metà novembre, è passato circa 1
    > mese da quanto è stata rilasciata questa patch,
    > quindi la stessa tempistica di Microsoft in caso
    > di 0-day
    > exploit

    Perche' tra PI che dice che il bug e' risolto e un anonimo troll winaro che afferma il contrario, la gente dovrebbe dar credito all'anonimo troll winaro?
  • Ma non era invulnerabile? E la patch tanto decantate sono disponibili per sole due distro e le altre? Questa è soprattutto un'ennesima conferma che non esiste sistema sicuro e più un sistema inizia a diffondersi più diventa interessante scoprire i buchi, che esistono e tanti e cosa più che certa non sono stati ancora tutti scoperti
    non+autenticato
  • Più che frasi fatte le tue sono frasi a caso.
    Una rassegna di banalità tipiche di chi conosce Linux attraverso luoghi comuni e stereotipi vari.

    Nessun sistema è invulnerabile, ma almeno i sistemi open source vengono continuamente scansionati dalla comunità di sviluppatori alla ricerca di eventuali falle. Praticamente ogni giorno arrivano delle patch.

    Inoltre, per la miliardesima volta, Linux è un kernel, mentre qui si sta parlando di applicazioni con dei bug.
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > Inoltre, per la miliardesima volta, Linux è un
    > kernel, mentre qui si sta parlando di
    > applicazioni con dei bug.
    Vero, LINUX è ... nulla perché serve solo da supporto alle applicazioni. Ma va beh, tu hai sempre ragione, tranquillo che fra poco raglierà anche panda
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Alvaro Vitali
    > > Inoltre, per la miliardesima volta, Linux è
    > un
    > > kernel, mentre qui si sta parlando di
    > > applicazioni con dei bug.
    > Vero, LINUX è ... nulla perché serve solo da
    > supporto alle applicazioni.

    Scimunito un bug in kernel space rende potenzialmente vulnerabile un gran numero di distro, gstreamer impacchettata a cazzo da canonical e RH fotte canocical e RH. RINCOGLIONITO!

    > Ma va beh, tu hai
    > sempre ragione,

    Comincia tu a dare l' esempio: smettila di scrivere cazzate.

    > tranquillo che fra poco raglierà
    > anche
    > panda
    non+autenticato
  • Meno male che è finito il mantra di Linux=Comunismo.
    iRoby
    7972
  • - Scritto da: iRoby
    > Meno male che è finito il mantra di
    > Linux=Comunismo.

    stanno preparando linux=pedofili e linux=spacciatori di droga
    non+autenticato
  • Non ragioniam di lor, ma guarda e passa
    :D
    Akiro
    1906
  • - Scritto da: ...
    > Ma non era invulnerabile?

    Chi?

    > E la patch tanto
    > decantate sono disponibili per sole due distro e
    > le altre?

    Perchè quelle sono vulnerabili, sulle altre QUEL player, QUELLA libreria, QUEL browser, semplicemente non ci sono. Amen. Come al solito le peggiori sono sempre le distro commerciali.

    > Questa è soprattutto un'ennesima
    > conferma che non esiste sistema sicuro

    Non servono conferme.

    > e più un
    > sistema inizia a diffondersi più diventa
    > interessante scoprire i buchi,

    Nah, più un sistema abbraccia l' approccio Sura Maria e più si installa di default monnezza che aumenta la superficie di attacco. Stiamo parlando di fedora, la distro spazzatura di RH e di ubuntu la distro dei bimbiminchia "voglio tutto facile facile".

    > che esistono e
    > tanti e cosa più che certa non sono stati ancora
    > tutti
    > scoperti

    Sul tuo accrocco sono noti e M$ se ne sbatte.
    non+autenticato
  • Quindi fammi capire: anche se ho 3 LPIC differenti deve piacermi bestemmiare come un orso ad installare il PC di casa?

    Credo che a volte si passi più da bimbiminkia a criticare Ubuntu che ad usarlo. Questo è uno dei casi.
  • Prendila così: gli unici bimbiminchia ad averla presa in qulo sono gli utumbari e i fedoriani.
    non+autenticato
  • Io la prendo così: fate informatica da quindici giorni ed andate allo stadio.
    Vero?