Il kernel di Linux ha notoriamente qualche problema nella gestione delle periferiche USB, e una vulnerabilità scoperta di recente arriva a confermare che basta davvero poco per compromettere gli OS del Pinguino. Almeno, nel caso in oggetto, per quelli che impiegano l’ambiente desktop KDE Plasma .
Classificata come CVE-2018-6791, la falla incriminata permette di eseguire “comandi arbitrari” dalla shell di Linux a partire dall’etichetta di un dispositivo di storage connesso su una porta USB: basta inserire il comando tra i caratteri ” o $(), e il sistema lo eseguirà subito dopo aver collegato la chiavetta e montato il volume corrispondente.
Oltre alla disponibilità di un desktop KDE , l’unico prerequisito per poter sfruttare la vulnerabilità consiste nell’uso del file system VFAT sul volume della chiavetta USB. Di certo la falla è già stata accolta con “ilarità” dalla community dei ricercatori, visto che rimanda a problemi di sicurezza che si credevano estinti già 20 anni fa.
Wow, that sounds pretty horrible. This is why I still mount things the old way, with ‘mount’.
– Mike Gualtieri (@mlgualtieri) 11 febbraio 2018
KDE ha rilasciato le versioni 5.8.9 e 5.12.0 dell’omonimo ambiente desktop per chiudere la falla, mentre qualsiasi versione di KDE Plasma precedente alla release 5.12.0 deve essere considerata come potenzialmente vulnerabile.
Alfonso Maruccia
Ti potrebbe interessare
16 feb 2018