[Soci SLIP] Vulnerabilità CUPS

[Lucio Crusca]

In data giovedì 1 dicembre 2011 10:52:42, loredana ha scritto:
> Non volevo certo sminuire il pericolo... mi ero abituata a scansare i
> gif al tempo della campagna della fsf e limito al massimo le stampe

Se però hai una stampante virtuale che crea un file PDF, il problema è lo 
stesso.

> Fra l'altro, il problema e' solo per i gif? 

Il problema noto e relativo a questa segnalazione riguarda solo i gif dati in 
pasto a CUPS, poi certo, chissà quanti altri problemi ignoti esistono e che 
forse saranno scoperti in futuro. Il punto è, ora che il problema dei gif a 
CUPS è noto e pubblicato, siamo tutti più al sicuro di prima se aggiorniamo e 
molto meno al sicuro di prima se non aggiorniamo.

Con questa vulnerabilità è possibile (ma tecnicamente difficile) mettere nel file 
gif una sequenza di istruzioni che CUPS eseguirà nel momento in cui interpreta 
il file gif. Guardando l'immagine gif sembrerà una normale immagine gif, non ci 
sarà scritto "io sono una cosa pericolosa". E CUPS è in esecuzione con i 
permessi di root.

Ci sono decine di altre vulnerabilità che vengono scoperte ogni giorno, ma 
questa, IMHO, è più pericolosa delle altre, perché riguarda un software usato 
da tantissimi utenti, il vettore di un eventuale malware è un'operazione che 
molti utenti fanno comunemente, ovvero stampare una pagina web e non viene 
presentata all'utente alcuna richiesta di password, alcuna finestra di 
avvertimento, nulla. Neppure un messaggio email con tecniche di phishing in 
cui si chiede all'utente di cliccare su un link.