I driver per le periferiche USB integrati nel kernel Linux sono letteralmente “imbottiti” di vulnerabilità di sicurezza potenzialmente molto pericolose , denunciano i ricercatori, e nel prossimo futuro la situazione non potrà che peggiorare se gli autori del codice non decideranno di porre maggiore attenzione nelle fasi di test oltre che in quelle di sviluppo .
Il nuovo “problema sicurezza” di Linux è emerso grazie al lavoro di Andrey Konovalov, ricercatore di Google che ha in questi giorni ha informato la community del Pinguino circa l’esistenza di 14 nuove vulnerabilità nel sottosistema USB del kernel.
I 14 bug in oggetto sono in realtà parte di una lista ben più corposa costituita da 79 falle , tutte scovate da Konovalov nel succitato sottosistema USB durante gli ultimi mesi. I bug sono stati individuati grazie a syzkaller , tool per il test automatizzato della sicurezza del codice basato su una tecnica nota come fuzzing .
Buona parte delle vulnerabilità riguardano possibili scenari DoS in cui il sistema operativo va in crash o si riavvia , ma in taluni casi si parla di potenziali elevazioni di privilegi di accesso e dell’esecuzione di codice malevolo tramite accesso fisico al sistema-bersaglio.
In realtà la ricerca di Konovalov non è la prima ad aver svelato la scarsa sicurezza del sottosistema USB di Linux, e proprio la crescente popolarità delle tecniche di fuzzing favoriscono la scoperta dei bug assieme alla loro correzione. O almeno è quello che suggerisce il creatore di Linux Linus Torvalds, in un messaggio alla community (incidentalmente privo di insulti) dove si annuncia l’arrivo della Release Candidate 5 di Linux 4.14.
Alfonso Maruccia
Ti potrebbe interessare
9 nov 2017