X.org 1.11: scoperta una falla che permette a chiunque di sbloccare il sistema

Una grave falla in X.org è stata scoperta da un blogger francese, GU1, che è riuscito a dimostrare che le versioni 1.11 e superiori di X.org Server contengono una vulnerabilità interessante che consente agli utenti di accedere a un computer bloccato. Premendo contemporaneamente il tasto Ctrl, il tasto Alt e il “tasto *” del tastierino numerico, si riesce a disattivare lo screensaver di un utente e sblocca il computer. Secondo GU1 il problema è causato dall’opzione “AllowClosedownGrabs”: se è attivo, premendo la combinazione di tasti tutti i processi che catturano gli eventi del mouse o della tastiera si chiudono e, in questo caso, lo screensaver si chiuderà.

GU1 aggiunge che la funzione è esistita fino al 2008 e, fino a quel tempo, era disattivata per impostazione predefinita e ben documentata. A quanto pare gli sviluppatori hanno anche esplicitamente sottolineato i potenziali problemi di protezione che possono esistere se usato in combinazione con gli screensaver. La funzione è stata reintrodotta l’anno scorso ma questa volta è abilitata per impostazione predefinita, non chiaramente documentata e nemmeno configurabile facilmente. Peter Hutterer, sviluppatore di X.org, dice che ciò è stata la conseguenza di una cattiva comunicazione all’interno del team di sviluppo: dopo che la funzione è stata reintrodotta, gli sviluppatori non sono riusciti a rimuovere la combinazione di tasti dalla mappatura di default della tastierat.

Secondo GU1, tutte le distribuzioni Linux che utilizzano la versione 1.11 del server X. Org sono vulnerabili e lui è riuscito a riprodurre il problema con Debian e GNOME 3, così come Arch Linux con GNOME 3, Slock e Slimlock. A quanto pare, anche KDE può essere sbloccato in questo modo. Phoronix riporta che Fedora 16, Debian unstable, Arch Linux e le distribuzioni Gentoo sono tutti forniti con la versione vulnerabile, rilasciata nel mese di settembre 2011, ma un recente aggiornamento da parte dei rispettivi team ha fixato tale vulnerabilitò. La versione X che viene utilizzata su un sistema può essere verificata digitando da terminale:

X -version

Il mio Ubuntu 11.10 Oneiric è salvo!

9 Commenti

  1. Aury88

    cavolo….un errore così grave in un programma così fondamentale per il funzionamento del computer. speravo riuscissero a beccarli in meno tempo questi errori, sopratutto se documentati. forse è vero che stiamo abbassando un po’ tutti la guardia :(

    Rispondi
  2. Anonimo

    @Tanino:disqus Il comando è “X -version”, perchè senza lo spazio da errore :)

    Rispondi
  3. Natale Giuliano Mainieri

    Pure il mio usa la 1.10.4

    Rispondi
  4. Anonimo

    La funzione pare fosse utile per il debugging, cioè per aiutare gli sviluppatori nella fase di test di Xorg 1.11, ma poi si sono “dimenticati” di disattivarla :|
    Comunque su Ubu arriverà con Precise, quindi già corretta.

    Rispondi

Rispondi