Individuati 26 nuovi bug nei driver dei maggiori sistemi operativi

(Immagine:: Honeywell)

Alcuni ricercatori universitari hanno sviluppato un nuovo strumento che ha permesso loro di identificare ventisei vulnerabilità nascoste nei comparti driver USB utilizzati da molti sistemi operativi popolari, tra cui Linux, macOS, Windows e FreeBSD.

Hui Peng della Purdue University (Indiana, USA) e Mathias Payer della Scuola politecnica federale di Losanna sono le principali menti alle spalle del nuovo strumento chiamato USBFuzz, le cui specifiche sono riportate in un documento dal titolo "USBFuzz: A Framework for Fuzzing USB Drivers by Device Emulation”, che recita:

“Presentiamo USBFuzz, un framework portatile, flessibile e modulare per testare la sicurezza dei driver USB. In pratica, USBFuzz emula a livello software un reale dispositivo USB e invia una serie di dati casuali ai driver (che eseguono operazioni di I/O)."

Lo strumento si basa sul cosiddetto fuzzing, una tecnica utilizzata per individuare errori o falle di sicurezza del software, che consiste in un tester (o fuzz) che invia al ricevitore dati casuali allo scopo di mettere a dura prova il sistema. Se il software non riesce a gestire correttamente i dati imprevisti, gli sviluppatori possono quindi identificare potenziali falle di sicurezza e risolvere eventuali problemi prima che gli utenti vengano messi a rischio.

USBFuzz

Dopo aver sviluppato USBFuzz, i ricercatori hanno testato lo strumento su nove versioni recenti del kernel Linux (v4.14.81, v4.15, v4.16, v4.17, v4.18.19, v4.19, v4.19.1, v4.19.2, e v4.20-rc2), FreeBSD12, macOS 10.15, Windows 8 e Windows 10.

A margine dei test eseguiti, i ricercatori hanno individuato un bug in FreeBSD, tre in macOS e quattro nei sistemi operativi Windows. Inoltre, su un totali di ventisei nuovi bug scoperti, diciotto provengono da Linux. Sedici di questi sono bug ad alto rischio riscontrati in diversi sottosistemi Linux (tra cui USB core, USB sound e network), mentre gli ultimi due sono stati individuati rispettivamente nel driver di USB host controller di Linux e nel driver della fotocamera USB.

I ricercatori hanno segnalato questi bug agli sviluppatori del kernel Linux, insieme a diverse idee da adottare per le future patch, in modo da rendere più semplice la vita al team di Linux. D’altronde, da quando i ricercatori hanno pubblicato i risultati dei test eseguiti, sono già state risolte undici delle diciotto vulnerabilità scovate in Linux con lo strumento USBFuzz. Nel prossimo futuro, saranno rilasciate ulteriori patch per sistemare i sette bug rimanenti.

I ricercatori hanno intenzione di pubblicare il codice di USBFuzz sul servizio di hosting GitHub, per dare il via a un progetto open source che possa consentire a chiunque di utilizzare il nuovo strumento di fuzzing.

Fonte: ZDNet

Valerio Del Vecchio

Valerio Del Vecchio is an Editor at TechRadar.