Windows 11 e Linux bucati in poche ore: pioggia di dollari al Pwn2Own 2025!

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...25_138803.html

Nel primo giorno del Pwn2Own Berlin 2025, hacker etici hanno scoperto gravi falle in Windows 11, Red Hat Linux, Oracle VirtualBox e Docker Desktop, ottenendo 260.000 dollari di ricompensa. Le vulnerabilità dovranno essere corrette entro 90 giorni.

Click sul link per visualizzare la notizia.

[marcram]

"Windows 11 e Red Hat Linux", se vogliamo che il titolo sia corretto...

[AlPaBo]

Quote:

Originariamente inviato da marcram

"Windows 11 e Red Hat Linux", se vogliamo che il titolo sia corretto...

Perché? Mi sembra che uno dei bug faccia riferimento al kernel.

Quote:

Originariamente inviato da Redazione di Hardware Upgrade

Billy e Ramdhan hanno ricevuto 60.000 dollari per aver sfruttato una vulnerabilità use-after-free nel kernel Linux

[coschizza]

Quote:

Originariamente inviato da marcram

"Windows 11 e Red Hat Linux", se vogliamo che il titolo sia corretto...

Red Hat = linux oppure lo è solo quando ti fa comodo?

[Peppe1970]

Quote:

Originariamente inviato da Redazione di Hardware Upgrade

Nel primo giorno del Pwn2Own Berlin 2025, hacker etici hanno scoperto gravi falle in Windows 11, Red Hat Linux, Oracle VirtualBox e Docker Desktop, ottenendo 260.000 dollari di ricompensa. Le vulnerabilità dovranno essere corrette entro 90 giorni.

Queste azioni tolgono l'ossigeno a società quali "Parag0n" et simili

Presto mi aspetto che l'AI setaccerà gli OS in modo da renderli più "sicuri"...
setacciamento che spesso a noi umani non viene "facile" fare vista l'enormità di dati da elaborare... ma poi è giusto farlo ???

[omerook]

Quote:

Originariamente inviato da marcram

"Windows 11 e Red Hat Linux", se vogliamo che il titolo sia corretto...

Cambia poco. Questi ricercatori dimostrano che tutti i sistemi sono delle complesse catene e che hanno sempre qualche anello debole da attaccare da qualche parte.

[marcram]

Quote:

Originariamente inviato da AlPaBo

Perché? Mi sembra che uno dei bug faccia riferimento al kernel.

Hanno fatto leva su un UAF di Linux per scappare dalla virtualizzazione di Docker Desktop, quindi il bug è considerato di Docker Desktop.
Infatti, altre testate titolano "Windows 11, Red Hat Linux, Docker Desktop e Oracle VirtualBox"...
Non è che i telefoni Android ne soffrono...

Quote:

Originariamente inviato da coschizza

Red Hat = linux oppure lo è solo quando ti fa comodo?

Ma quando mai?
Conosci la differenza tra un sistema operativo ed un kernel?
Ti vanti sempre di gestire migliaia di postazioni, ma vedo molte carenze per la tua professione...

[marcram]

Quote:

Originariamente inviato da omerook

Cambia poco. Questi ricercatori dimostrano che tutti i sistemi sono delle complesse catene e che hanno sempre qualche anello debole da attaccare da qualche parte.

Certo, è solo una puntualizzazione per chi legge.
Se invece di scrivere "Windows 11" avessero scritto "Windows", chiunque ha una versione anche più vecchia di Windows potrebbe pensare di essere colpito da quella vulnerabilità, invece non è così.
Per lo stesso motivo, una vulnerabilità in Linux porterebbe a pensare chiunque ha un router non più aggiornabile ad essere soggetto a quel bug, ma è solo riferito a RH...

[aqua84]

Quote:

Originariamente inviato da omerook

Cambia poco. Questi ricercatori dimostrano che tutti i sistemi sono delle complesse catene e che hanno sempre qualche anello debole da attaccare da qualche parte.

Ma questo è risaputo, nessun sistema è (e sarà mai) sicuro al 100%.

Però in questo caso, quello che potrebbe essere sfruttato su RedHat potrebbe non essere neanche presente in un'altra distribuzione, anche se si parla di Linux

[Saturn]

Io MENO ne devo gestire di postazioni, meglio mi sento !

Tanto mi pagano uguale. Stesso identico stipendio.

Straordinari a parte logicamente.

[virtualdj]

Io sarei veramente curioso di sapere come fanno. Cioè questi si mettono lì e in pochi minuti/ore trovano una falla... o ce ne sono tantissime per la legge dei grandi numeri o non si spiega.

Da dove partono? Da bug noti? Sanno dove gli sviluppatori hanno messo mano al software (es. una novità) e da lì partono a testarla per vedere se ci sono falle?

[CountDown_0]

Quote:

Originariamente inviato da virtualdj

Cioè questi si mettono lì e in pochi minuti/ore trovano una falla...

No, il lavoro viene fatto prima. L'analisi può richiedere giorni, settimane, mesi. Poi, una volta individuati i bug, bisogna anche scrivere del codice che li sfrutti, e che lo faccia in maniera affidabile (cioè, se dipende da un valore casuale che si verifica una volta su un milione, non è il massimo). E anche questa fase dura parecchio, certamente non pochi minuti.

Quando si presentano al Pwn2Own, quello che fanno è mostrare il risultato del lavoro fatto a casa. E quando leggi il titolone "Sistema X bucato in 10 secondi" è solo per rendere la notizia più interessante. La realtà è che ci vogliono pochi secondi per eseguire un programma (o caricare un sito, se parliamo di falle dei browser) che è stato creato precedentemente, mettendoci molto di più.

[virtualdj]

Quote:

Originariamente inviato da CountDown_0

E quando leggi il titolone "Sistema X bucato in 10 secondi" è solo per rendere la notizia più interessante.

Ah OK, grazie, così ha più senso in effetti.

[lupin 3rd]

Quote:

Originariamente inviato da marcram

Certo, è solo una puntualizzazione per chi legge.
Se invece di scrivere "Windows 11" avessero scritto "Windows", chiunque ha una versione anche più vecchia di Windows potrebbe pensare di essere colpito da quella vulnerabilità, invece non è così.
Per lo stesso motivo, una vulnerabilità in Linux porterebbe a pensare chiunque ha un router non più aggiornabile ad essere soggetto a quel bug, ma è solo riferito a RH...

Quote:

Originariamente inviato da aqua84

Ma questo è risaputo, nessun sistema è (e sarà mai) sicuro al 100%.

Però in questo caso, quello che potrebbe essere sfruttato su RedHat potrebbe non essere neanche presente in un'altra distribuzione, anche se si parla di Linux

se la vulnerabilità è presente sul kernel linux io me la ritrovo su tutte le distribuzioni, non solo su red hat... red hat è solo un sistema preso come riferimento, ma la falla sarebbe replicabile su qualsiasi distribuzione

[marcram]

Quote:

Originariamente inviato da lupin 3rd

se la vulnerabilità è presente sul kernel linux io me la ritrovo su tutte le distribuzioni, non solo su red hat... red hat è solo un sistema preso come riferimento, ma la falla sarebbe replicabile su qualsiasi distribuzione

Si. Ma non c'è scritto che la vulnerabilità è sul kernel, un sistema RedHat è costituito da una moltitudine di pacchetti che le altre distribuzioni non utilizzano...