Aggiornamenti recenti Maggio 14th, 2024 2:48 PM
Set 23, 2022 Redazione news News, RSS, Vulnerabilità 0
Mentre indagava su una falla non correlata, il Trellix Advanced Research Center si è imbattuto in una vulnerabilità nel modulo tarfile del linguaggio di programmazione Python. Inizialmente pensavano di aver trovato una nuova vulnerabilità zero-day, ma hanno scoperto che il bug è vivo e vegeto da 15 anni.
Identificato come CVE-2007-4559, è un attacco di path traversal nelle funzioni extract ed extractall del modulo. Può consentire a un utente malintenzionato di sovrascrivere file arbitrari aggiungendo la sequenza “..” ai loro nomi in un archivio TAR. La vulnerabilità può essere sfruttata caricando un file dannoso generato con due o tre righe di codice semplice e consente agli aggressori l’esecuzione di codice arbitrario o il controllo del dispositivo attaccato.
Trellix ha scoperto che oltre 350.000 progetti sono vulnerabili a questa falla che è anche diffusa nei progetti closed-source. Come sottolineano i suoi ricercatori, il modulo Python tarfile è infatti predefinito in qualsiasi progetto che utilizzi Python e si trova diffusamente nei framework creati da Netflix, AWS, Intel, Facebook, Google e nelle applicazioni utilizzate per l’apprendimento automatico, l’automazione e i container Docker.
“Quando si parla di minacce alla supply chain, di solito ci si riferisce ad attacchi informatici come l’incidente di SolarWinds, ma costruire su fondamenta di codice deboli può avere un impatto altrettanto grave” – ha dichiarato Christiaan Beek, Head of Adversarial & Vulnerability Research dell’azienda.
Uno strumento gratuito per gli sviluppatori per verificare se le loro applicazioni sono vulnerabili è disponibile su GitHub del Trellix Advanced Research Center.
Ott 02, 2023 0
Set 06, 2023 0
Lug 07, 2023 0
Giu 21, 2023 0
Mag 14, 2024 0
Mag 14, 2024 0
Mag 13, 2024 0
Mag 10, 2024 0
Mag 14, 2024 0
Dalla sua prima identificazione nell’aprile 2022 a...Mag 10, 2024 0
A partire dallo scorso gennaio e fino a metà marzo, MITRE...Mag 09, 2024 0
I sistemi Linux stanno diventando sempre più popolari e...Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft: tra...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Mag 14, 2024 0
Apple e Google hanno annunciato la disponibilità di...Mag 14, 2024 0
Dalla sua prima identificazione nell’aprile 2022 a...Mag 13, 2024 0
Nell’ultima settimana, il CERT-AGID ha identificato e...Mag 10, 2024 0
Microsoft ha deciso di gestire le vulnerabilità DNS...Mag 09, 2024 0
Le campagne sfruttano le vulnerabilità dei plugin di...