Questo sito contiene link di affiliazione per cui può essere compensato

Home » Macity - Apple » Apple Bugs & Bug Fixes » Un bug nel comando Sudo di macOS e Linux consentiva l’esecuzione di programmi come amministratore

Un bug nel comando Sudo di macOS e Linux consentiva l’esecuzione di programmi come amministratore

Pubblicità

Joe Vennix, un esperto in sicurezza informatica che lavora per Apple, ha per la seconda volta individuato una vulnerabilità nell’utility sudo, il programma per sistemi operativi *NIX che permette di eseguire altri programmi assumendo l’identità di altri utenti e, di conseguenza, consentire a utenti con privilegi standard di eseguire programmi con i privilegi dell’utente amministratore.

Sudo è una delle utility più importanti, potenti e comunemente usata, per eseguire comandi come un altro utente, per esempio l’utente root, presente di serie su macOS e su quasi tutte le distribuzioni UNIX o Linux.

Dal punto di vista tecnico, spiega il sito The Hacker News, la falla, etichettata nel database delle vulnerabilità come CVE-2019-18634, nasce da un problema di buffer overflow dello stack che è presente nella versione di Sudo prima della 1.8.26.

Un bug nel comando Sudo del Terminale di macOS e Linux consentiva l’esecuzione di programmi come amministratore
È possibile conoscere la versione di Sudo con un comando del Terminale

Stando a quanto riferito da Vennix, la falla poteva essere sfruttata solo quando l’opzione pwfeedback era attiva nel file di configurazione /etc/sudoers, funzionalità che offre feedback visuale: gli asterisco quando l’utente digita password in input nel Terminale. Da evidenziare che la funzionalità pwfeedback non è per default attiva nelle versioni upstream di distribuzioni Linux quali Linux Mint ed Elementary OS; dove non è attiva, il bug può essere riprodotto facendo passare grandi quantità di input a sudo via pipe (una funzionalità della shell per far comunicare tra loro dei processi).

Il problema è stato risolto con le versioni più aggiornate di sudo. Apple ha rilasciato aggiornamenti integrati con un fix specifico integrato negli update di sicurezza di macOS High Sierra 10.13.6, macOS Mojave 10.14.6 e macOS Catalina 10.15.3, recentemente presentati.

Offerte Apple e Tecnologia

Le offerte dell'ultimo minuto le trovi nel nostro canale Telegram

Offerte Speciali

Nuovo Apple Watch SE già in forte sconto su Amazon

Minimo Apple Watch SE Cellular 40mm solo 199€, sconto del 23%

Su Amazon Apple Watch SE torna al minimo storico. Ribasso del 21% per la versione da 44mm, prezzo di solo 229 €
Pubblicità

Ultimi articoli

Pubblicità