Re: CVE-2021-38503
Il 21/11/2021 08:19, Davide Prina ha scritto:
quando una vulnerabilità è stata scoperta viene comunicata alla comunità
che gestisce la sicurezza sui vari sistemi operativi e componenti.
Dicesi "responsible disclosure". In alternativa, chi l'ha scoperta la
vende a gruppi che la utilizzano per i loro fini. Indovina chi viene
pagato di più... :(
Ad esempio è stata scoperta recentemente una vulnerabilità sui sorgenti
di quasi tutti i linguaggi di programmazione e, almeno l'ultima volta
che avevo letto, non c'erano i dettagli per capire cosa effettivamente
fosse e mi sembra che avevano dato 70 giorni a tutti per sistemare il
problema prima di rendere totalmente pubblica la vulnerabilità.
Questa dovrebbe essere un problema col supporto unicode. In pratica,
puoi alterare il codice in modo che una chiamata ad una funzione
apparentemente innocua in realtà ne chiami una malevola. Oppure che un
controllo di accesso "sbagli" variabile.
Purtroppo in unicode ci sono molti simboli formalmente diversi ma
graficamente (quasi) uguali. In più i marker RTL o LTR non vengono
evidenziati.
Però, IMVHO, non è una vulnerabilità del compilatore. Non più del fatto
che possa compilare codice contenente bug. Al limite è un problema dei
tool di revisione del codice (che, p.e., dovrebbero accettare solo set
di caratteri ASCII o di una codepage). E comunque non è una
vulnerabilità, a meno che un sorgente non possa far crashare l'ambiente
di sviluppo, o fargli eseguire codice arbitrario automaticamente... :)
--
Diego Zuccato
DIFA - Dip. di Fisica e Astronomia
Servizi Informatici
Alma Mater Studiorum - Università di Bologna
V.le Berti-Pichat 6/2 - 40127 Bologna - Italy
tel.: +39 051 20 95786
Reply to: