[NEWS] Stack Clash, una vulnerabilità dei sistemi Unix torna in auge

		Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza
[NEWS] Stack Clash, una vulnerabilità dei sistemi Unix torna in auge

	Recensione Zenfone 11 Ultra: il flagship ASUS ritorna a essere un 'padellone' Zenfone 11 Ultra ha tantissime qualità interessanti, fra cui potenza da vendere, un display di primissimo livello, un comparto audio potente e prestazioni di connettività fra le migliori della categoria. Manca però dell'esclusività del predecessore, che in un settore composto da "padelloni" si distingueva per le sue dimensioni compatte. Abbiamo provato il nuovo flagship ASUS, e in questa recensione vi raccontiamo com'è andata.
	Appian: non solo low code. La missione è l’ottimizzazione dei processi con l'IA Abbiamo partecipato ad Appian World 2024, evento dedicato a partner e clienti che si è svolto recentemente nei pressi di Washington DC, vicino alla sede storica dell’azienda. Nel festeggiare il 25mo anniversario, Appian ha annunciato diverse novità in ambito intelligenza artificiale
	Lenovo ThinkVision 3D 27, la steroscopia senza occhialini Primo contatto con il monitor Lenovo ThinkVision 3D 27 che grazie a particolari accorgimenti tecnici riesce a ricreare l'illusione della spazialità tridimensionale senza che sia necessario utilizzare occhialini

Tutte le offerte Gaming Week Amazon: c'è un po' di tutto! TV super scontati, schede video, SSD e molto altro (aggiornamenti continui)

999€ con NVIDIA RTX 4060! Questo portatile gaming HP è super, ha anche Intel Core i5-13500H e 16GB di RAM!

Speciale offerte hardware per la Amazon Gaming Week: tutte le memorie e le schede video in offerta

Amazon Gaming Week 2024: tutte le offerte sui monitor Samsung Odyssey, AOC, ASUS ROG e LG UltraGear

Apple AirPods 101€, le Pro a soli 224€! Ma occhio anche alle cuffie Beats scontate fino al 30% reale

JAXA SLIM funziona ancora sulla superficie della Luna, superata la terza notte

NASA Curiosity ha rilevato del metano che filtra dalla superficie del cratere Gale su Marte

La CNSA si prepara al lancio della missione Chang'e-6 per riportare campioni dal lato nascosto della Luna

Appuntamento a mezzanotte: lunedì 29 parte Amazon Gaming Week 2024 con tante offerte su monitor, TV, portatili, schede video e accessori per il gaming

Occhio a questi due droni in offerta su Amazon (uno DJI): si possono comprare a soli 249 e 279 euro, e non richiedono il patentino

MS-DOS 4.0, il rilascio open source non è piaciuto a tutti. L'hanno mutilato?

Tutti gli articoli

Tutte le news

Vai al Forum

Strumenti

26-06-2017, 09:33

c.m.g

Senior Member

Iscritto dal: Mar 2006

Messaggi: 22111

[NEWS] Stack Clash, una vulnerabilità dei sistemi Unix torna in auge

giovedì 22 giugno 2017

Spoiler:

Quote:

I ricercatori di Qualys sono riusciti a riprodurre un pericoloso bug creduto risolto da anni. Realizzati vari tipi di exploit a titolo di proof of concept per i sistemi operativi Unix coinvolti, tra cui Linux

Roma - Una grave vulnerabilità, denominata Stack Clash, è stata riprodotta tramite exploit dai ricercatori di Qualys lo scorso Maggio.
In realtà, Stack Clash è una problematica dei sistemi Unix già affrontata molteplici volte: difatti, bug analoghi sono stati risolti su varie piattaforme negli ultimi dodici anni: sono di rilievo le analisi effettuate nel 2005 da Gaël Delalleau e nel 2010 da Rafal Wojtczuk.

L'esecuzione di un'applicazione, in un sistema operativo Unix, avviene in due aree di memoria ben distinte, l'heap e lo stack: il primo cresce dall'alto verso il basso, il secondo dal basso verso l'alto. Sebbene vi siano una serie di controlli volti ad evitare che lo stack collida con l'heap od altre aree di memoria, tra cui l'introduzione di una guard-page grande alcuni kilobyte, i ricercatori di Qualys sono stati in grado di produrre diversi exploit che portano a privilege escalation, la quale per il momento può avvenire a livello esclusivamente locale. Tuttavia, la combinazione di questa vulnerabilità con altre - relative ad applicativi installati - che siano in grado di produrre remote code execution, potrebbe aggravare il quadro della situazione.

I sistemi operativi coinvolti sono molti: Linux, Unix, FreeBSD, OpenBSD, NetBSD, Solaris, sia su architettura i386 che amd64. I ricercatori di Qualys stanno lavorando con i diversi team da diverse settimane, in modo da garantire un rilascio tempestivo di tutte le patch necessarie, che sono ad oggi disponibili. Per la stessa ragione, gli exploit prodotti non sono stati pubblicati; questo avverrà forse nei prossimi mesi.

Un'alternativa temporanea al patching dei propri sistemi può essere il settaggio ad un valore ragionevolmente basso dei parametri RLIMIT_STACK e RLIMIT_AS, che indicano rispettivamente la dimensione massima dello stack e dello spazio di indirizzamento usati da un determinato applicativo o servizio. Tuttavia, ciò non dà garanzia assoluta di resistenza ad ogni tipo di attacco.

Elia Tufarolo

Fonte: Punto Informatico

__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

« Discussione precedente | Discussione successiva »

	Recensione Zenfone 11 Ultra: il flagship ASUS ri...
	Appian: non solo low code. La missione è ...
	Lenovo ThinkVision 3D 27, la steroscopia senza o...
	La Formula E può correre su un tracciato ...
	Lenovo LEGION e LOQ: due notebook diversi, stess...

	Tutte le offerte Gaming Week Amazon: c'&...
	999€ con NVIDIA RTX 4060! Questo portati...
	Speciale offerte hardware per la Amazon ...
	Amazon Gaming Week 2024: tutte le offert...
	Apple AirPods 101€, le Pro a soli 224€! ...
	JAXA SLIM funziona ancora sulla superfic...
	NASA Curiosity ha rilevato del metano ch...
	La CNSA si prepara al lancio della missi...
	Appuntamento a mezzanotte: lunedì...
	Occhio a questi due droni in offerta su ...
	MS-DOS 4.0, il rilascio open source non ...
	Il ministro Urso è sicuro: l'Ital...
	AMD, emergono presunte specifiche della ...
	CPU AMD EPYC 4004 compatibili con socket...
	Intel incolpa i produttori di schede mad...

	Chromium
	GPU-Z
	OCCT
	LibreOffice Portable
	Opera One Portable
	Opera One 106
	CCleaner Portable
	CCleaner Standard
	Cpu-Z
	Driver NVIDIA GeForce 546.65 WHQL
	SmartFTP
	Trillian
	Google Chrome Portable
	Google Chrome 120
	VirtualBox

Tutti gli articoli

Tutte le news

Tutti i download

Strumenti
Mostra una versione stampabile Invia questa pagina per email

Regole
Non Puoi aprire nuove discussioni Non Puoi rispondere ai messaggi Non Puoi allegare file Non Puoi modificare i tuoi messaggi Il codice vB è On Le Faccine sono On Il codice [IMG] è On Il codice HTML è Off

Vai al Forum

Tutti gli orari sono GMT +1. Ora sono le: 02:07.

Lenovo ThinkVision 3D 27, la steroscopia senza occhialini Primo contatto con il monitor Lenovo ThinkVision 3D 27 che grazie a particolari accorgimenti tecnici riesce a ricreare l'illusione della spazialità tridimensionale...

Recensione Zenfone 11 Ultra: il flagship ASUS ritorna a essere un 'padellone' Zenfone 11 Ultra ha tantissime qualità interessanti, fra cui potenza da vendere, un display di primissimo livello, un comparto audio potente e prestazioni di connettività...

Granblue Fantasy: Relink, un action RPG che vi sorprenderà - Recensione PS5 Dopo l'ottimo Versus: Rising, tocca a Relink espandere l'immaginario di Granblue Fantasy. Per il suo progetto più ambizioso, Cygames sceglie di esplorare (con grande...

Sony FE 16-25mm F2.8 G: meno zoom, più luce Il nuovo Sony FE 16-25mm F2.8G si aggiunge all'analogo 24-50mm per offrire una coppia di zoom compatti ma di apertura F2.8 costante, ideali per corpi macchina altrettanto...

Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...

Appian: non solo low code. La missione è l’ottimizzazione dei processi con l'IA Abbiamo partecipato ad Appian World 2024, evento dedicato a partner e clienti che si è svolto recentemente nei pressi di Washington DC, vicino alla sede storica...

La Formula E può correre su un tracciato vero? Reportage da Misano con Jaguar TCS Racing Abbiamo visto ancora una volta la Formula E da vicino, ospiti di Jaguar TCS Racing. In questa occasione però curve e rettilinei erano quelli di un circuito permanente,...

Fujifilm X100VI: con le 'ricette' è la fotocamera più divertente del momento Fujifilm X100VI è la fotocamera perfetta per divertirsi con la street photography: è tascabile, offre grande qualità, ma soprattutto permette di giocare molto con...

No Rss