I ricercatori di sicurezza sanno che dietro alla scoperta di una vulnerabilità ci sono ore e ore di duro lavoro, ma ogni tanto non servono grandi sforzi.
Questo sembra essere il caso del bug trovato da due ricercatori dell'università di Valencia, Ismael Ripoll e Hector Marco, che hanno scoperto come per entrare in molti computer Linux basti premere 28 volte di seguito il tasto backspace durante la richiesta della password e dare un invio.
Il bug si trova in GRUB2, nelle versioni dalla 1.98 alla 2.02, e causa l'apertura forzata di una shell d'emergenza per il recupero del sistema che permette di accedere ai dati sul pc o caricare un altro sistema operativo.
La vulnerabilità è attiva dal 2009 nelle funzioni grub_password_get(), grub_username_ge() e nella libreria lib/crypto.c, e data la sua semplice attivazione è sorprendente che nessuno se ne sia accorto prima.
Per proteggere i nostri sistemi, che è facile controllare se siano o meno affetti dal bug, possiamo usare la patch che Ismael e Hector hanno già messo a disposizione presso questo indirizzo. Dal codice si evince che tutto il problema sta in un integer underflow semplice da risolvere.
Anche chi segue lo sviluppo di GRUB è stato messo al corrente del problema e il bug è stato chiuso. Ricordate, però, di sistemare le vostre macchine.
