[NEWS] Stack Clash, una vulnerabilità dei sistemi Unix torna in auge

		Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza
[NEWS] Stack Clash, una vulnerabilità dei sistemi Unix torna in auge

	Opel Astra e il ritorno del GSE: ora la parte elettrica significa sportività Abbiamo guidato per diversi giorni la Opel Astra GSE, la plug-in che riporta in auge la storica sigla, che ora indica vetture sportive che sfruttano la parte elettrica delle ibride plug-in. Qui trovate tutto su design, spazio, bagagliaio e impressioni di guida
	ASUS Vivobook S15: è tempo di Qualcomm Snapdragon X Elite Il primo notebook Windows con SoC Qualcomm Snapdragon X Elite giunge in redazione per i nostri consueti test: le novità architetturali di questa piattaforma sono numerose ma a interessare è soprattutto la ventata di novità che questa porta all'interno dell'ecosistema dei sistemi notebook. Windows per ARM sarà però in grado di assicurare la compatibilità con tutte le applicazioni?
	SAP cambia pelle: cloud, intelligenza artificiale e clean core al centro della nuova strategia SAP Sapphire 2024 Barcellona, l’evento annuale dell’azienda, ci ha dato l’occasione per approfondire i punti principali della strategia di SAP: cloud, intelligenza artificiale e clean core. Cambia profondamente il modo di interpretare tecnologie e processi, con al centro l’IA

Nuovo mega impianto fotovoltaico di Axpo in Friuli-Venezia Giulia, in cambio un secondo impianto gratis per la comunità

OpenAI, la casa di ChatGPT diventerà una società a scopo di lucro

Audi ha presentato la e-tron GT 2024, con due nuove varianti

iPhone 15 Pro Max, prestazioni IA significativamente migliorate con iOS 18

Motorola razr 50, la nuova serie di smartphone pieghevoli debutterà a breve

Ecco quali sono i migliori robot per le pulizie economici su Amazon, come un 4000Pa con navigazione LiDAR a meno di 200€

Juniper Networks: l'IA per le reti e le reti per l'IA. Ne parliamo con Mario Manfredoni

CMF by Nothing: ecco la data di lancio di CMF Phone 1, Buds Pro 2 e Watch Pro 2

Samsung lancia Galaxy Book4 Edge: il laptop AI di nuova generazione con CoPilot+

Occhio ai prezzi del Nothing Phone (2a), oggi a meno di 310€ nella versione 8/128 GB

IA ipermodale, affidabilità dei risultati e osservabilità: ne parliamo con il CEO di Dynatrace

Tutti gli articoli

Tutte le news

Vai al Forum

Strumenti

26-06-2017, 09:33

c.m.g

Senior Member

Iscritto dal: Mar 2006

Messaggi: 22111

[NEWS] Stack Clash, una vulnerabilità dei sistemi Unix torna in auge

giovedì 22 giugno 2017

Spoiler:

Quote:

I ricercatori di Qualys sono riusciti a riprodurre un pericoloso bug creduto risolto da anni. Realizzati vari tipi di exploit a titolo di proof of concept per i sistemi operativi Unix coinvolti, tra cui Linux

Roma - Una grave vulnerabilità, denominata Stack Clash, è stata riprodotta tramite exploit dai ricercatori di Qualys lo scorso Maggio.
In realtà, Stack Clash è una problematica dei sistemi Unix già affrontata molteplici volte: difatti, bug analoghi sono stati risolti su varie piattaforme negli ultimi dodici anni: sono di rilievo le analisi effettuate nel 2005 da Gaël Delalleau e nel 2010 da Rafal Wojtczuk.

L'esecuzione di un'applicazione, in un sistema operativo Unix, avviene in due aree di memoria ben distinte, l'heap e lo stack: il primo cresce dall'alto verso il basso, il secondo dal basso verso l'alto. Sebbene vi siano una serie di controlli volti ad evitare che lo stack collida con l'heap od altre aree di memoria, tra cui l'introduzione di una guard-page grande alcuni kilobyte, i ricercatori di Qualys sono stati in grado di produrre diversi exploit che portano a privilege escalation, la quale per il momento può avvenire a livello esclusivamente locale. Tuttavia, la combinazione di questa vulnerabilità con altre - relative ad applicativi installati - che siano in grado di produrre remote code execution, potrebbe aggravare il quadro della situazione.

I sistemi operativi coinvolti sono molti: Linux, Unix, FreeBSD, OpenBSD, NetBSD, Solaris, sia su architettura i386 che amd64. I ricercatori di Qualys stanno lavorando con i diversi team da diverse settimane, in modo da garantire un rilascio tempestivo di tutte le patch necessarie, che sono ad oggi disponibili. Per la stessa ragione, gli exploit prodotti non sono stati pubblicati; questo avverrà forse nei prossimi mesi.

Un'alternativa temporanea al patching dei propri sistemi può essere il settaggio ad un valore ragionevolmente basso dei parametri RLIMIT_STACK e RLIMIT_AS, che indicano rispettivamente la dimensione massima dello stack e dello spazio di indirizzamento usati da un determinato applicativo o servizio. Tuttavia, ciò non dà garanzia assoluta di resistenza ad ogni tipo di attacco.

Elia Tufarolo

Fonte: Punto Informatico

__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

« Discussione precedente | Discussione successiva »

	Opel Astra e il ritorno del GSE: ora la parte el...
	ASUS Vivobook S15: è tempo di Qualcomm Sn...
	SAP cambia pelle: cloud, intelligenza artificial...
	Recensione HUAWEI MatePad 11.5''S, con il displa...
	Recensione HONOR 200 Pro: potrete fare ritratti ...

	Nuovo mega impianto fotovoltaico di Axpo...
	OpenAI, la casa di ChatGPT diventerà una...
	Audi ha presentato la e-tron GT 2024, co...
	iPhone 15 Pro Max, prestazioni IA signif...
	Motorola razr 50, la nuova serie di smar...
	Ecco quali sono i migliori robot per le ...
	Juniper Networks: l'IA per le reti e le ...
	CMF by Nothing: ecco la data di lancio d...
	Samsung lancia Galaxy Book4 Edge: il lap...
	Occhio ai prezzi del Nothing Phone (2a),...
	IA ipermodale, affidabilità dei r...
	AMD risponde a Intel sul caso EPYC Turin...
	ASUS svela un nuovo colore per Zenfone 1...
	Ecco un ottimo aspirapolvere robot da Im...
	Inside Out 2: il ritorno nella mente di ...

	Chromium
	GPU-Z
	OCCT
	LibreOffice Portable
	Opera One Portable
	Opera One 106
	CCleaner Portable
	CCleaner Standard
	Cpu-Z
	Driver NVIDIA GeForce 546.65 WHQL
	SmartFTP
	Trillian
	Google Chrome Portable
	Google Chrome 120
	VirtualBox

Tutti gli articoli

Tutte le news

Tutti i download

Strumenti
Mostra una versione stampabile Invia questa pagina per email

Regole
Non Puoi aprire nuove discussioni Non Puoi rispondere ai messaggi Non Puoi allegare file Non Puoi modificare i tuoi messaggi Il codice vB è On Le Faccine sono On Il codice [IMG] è On Il codice HTML è Off

Vai al Forum

Tutti gli orari sono GMT +1. Ora sono le: 15:10.

ASUS Vivobook S15: è tempo di Qualcomm Snapdragon X Elite Il primo notebook Windows con SoC Qualcomm Snapdragon X Elite giunge in redazione per i nostri consueti test: le novità architetturali di questa piattaforma sono...

Recensione HUAWEI MatePad 11.5''S, con il display PaperMatte si scrive come sulla carta HUAWEI MatePad 11,5''S è il nuovo tablet tuttofare di Huawei. Un device che adotta un display PaperMatte offrendo un'esperienza di scrittura e lettura simile alla...

Ghost of Tsushima Director's Cut PC: il porting superbo di un gioco magnifico Nelle ultime settimane abbiamo provato in maniera più che approfondita Ghost of Tsushima Director's Cut per PC, ultima esclusiva PlayStation approdata su computer....

Xiaomi 14 e Xiaomi 14 Ultra: sono davvero macchine fotografiche 5G? Xiaomi 14 e Xiaomi 14 Ultra sono due dei più performanti cameraphone del 2024. Li abbiamo messi sotto torchio con tutte le prove che effettuiamo solitamente per...

Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...

SAP cambia pelle: cloud, intelligenza artificiale e clean core al centro della nuova strategia SAP Sapphire 2024 Barcellona, l’evento annuale dell’azienda, ci ha dato l’occasione per approfondire i punti principali della strategia di SAP: cloud, intelligenza...

Opel Astra e il ritorno del GSE: ora la parte elettrica significa sportività Abbiamo guidato per diversi giorni la Opel Astra GSE, la plug-in che riporta in auge la storica sigla, che ora indica vetture sportive che sfruttano la parte elettrica...

Fujifilm X100VI: con le 'ricette' è la fotocamera più divertente del momento Fujifilm X100VI è la fotocamera perfetta per divertirsi con la street photography: è tascabile, offre grande qualità, ma soprattutto permette di giocare molto con...

No Rss