La versione Kernel Linux 5.10 presenta una vulnerabilità e tutti i dispositivi che lo presentano sono a rischio. A scoprire il problema. è stato uno studente dell’Università dell’Illinois. Attenzione quindi ai modelli Pixel 6 e Samsung Galaxy S22. 
Tutti gli smartphone e in generale i dispositivi che hanno la versione 5.10 del kernel Linux sono a rischio. Una falla zero-day è stata scovata all’interno del kernel alla Northwestern University, un ateneo prestigioso dell’Illinois. Lo scopritore è uno de suoi studenti più brillanti, Zhenpeng Lin.
Il ragazzo si è già aggiudicato un premio di 40.000 dollari per una scoperta simile avvenuta durante questa primavera nel corso di una competizione fra hacker chiamata Pwn2Own. Durante la sfida Lin ha scovato una debolezza all’interno del sistema operativo Ubuntu.
La falla una volta individuata è stata prontamente condivisa dallo studente sui social, se non altro senza spiegare come sfruttarla a proprio vantaggio. Un po’ controverso però il fatto che Lin abbia allertato Google solo dopo aver condiviso la scoperta su Twitter.
La vulnerabilità trovata ha permesso allo studente tramite l’exploit scritto di disabilitare le barriere di sicurezza SELinux ed evitare i controlli del sistema operativo senza sforzi. In questo modo si possono autorizzare gli accessi senza alcuna barriera.
I dettagli tecnici relativi alla falla sono riservati e Lin li ha condivisi solamente con Google. Il suo tweet però ha violato la prassi standard condividendo il tutto a livello pubblico prima che con lo sviluppatore.
Cosa prevede la prassi?
Se si sia trattato di un moto di entusiasmo o di una sorta di sfida non è chiaro, ma sicuramente sarà alla fine il team di sicurezza di Google ad esprimersi a riguardo. Il protocollo standard prevede infatti che in caso si riscontrino bug potenzialmente rischiosi occorra allertare prima di tutto le società coinvolte, in forma privata.
L’avviso deve essere rapido per consentire lo sviluppo di patch correttive e la distribuzione delle stesse. Solo dopo qualche giorno si può eventualmente passare alla divulgazione della scoperta, che può anche essere un incentivo per i soggetti coinvolti ad agire prontamente. Tuttavia è vero che non è stato specificato neppure come eseguire l’exploit per sfruttare la falla e quindi è difficile che qualcun altro possa emularlo in tempi brevi. Biognerà vedere se Google accetterà lo stesso di erogare a Lin una ricompensa per la scoperta.
🔴 FONTI: www.msn.com