Una vulnerabilità risolta nella libreria GnuTLS permetterebbe a server maligni di controllare i computer in giro per il mondo
Non abbiamo fatto in tempo a metabolizzare i rischi messi in evidenza dal bug Heartbleed che ne arriva un altro a mantenere alti i livelli di attenzione. Seppur la vulnerabilità CVE-2014-3466 nella popolare libreria di crittografia GnuTLS sia stata corretta, potrebbe essere stata già sfruttata per inviare codice maligno a computer e sistemi in tutto il mondo. E’ quanto hanno dichiarato gli sviluppatori GnuTLS che hanno realizzato la versione 3.3.4 proprio per risolvere il bug, relativo all’accelerazione hardware.
GnuTLS?
Quello comunemente conosciuto come GnuTLS è il GNU Transport Layer Security Library, un’implementazione dei protocolli SSL e TLS che viene utilizzata per consentire agli sviluppatori di comunicare in maniera sicura all’interno della rete, attraverso un’interfaccia di programmazione (API) specifica. Il paradosso è che un protocollo utilizzato per crittografare le comunicazioni su internet abbia sofferto di un bug importante, che avrebbe permesso a malintenzionati di inviare virus e malware a specifici computer, prendendone anche il controllo.
L’analisi degli esperti
Secondo il bug tracker di Red Hat, che tiene traccia delle minacce rilevate in rete, un server avrebbe potuto utilizzare la falla in GnuTLS per mandare in tilt le piattaforme degli utenti che usavano l’aggiunta al protocollo, per metterli fuori uso e permettere l’esecuzione di codice arbitrario. Il fix alla minaccia arriva tre mesi dopo che alcuni sviluppatori avevano individuato un altra vulnerabilità che poteva permettere agli aggressori di ingannare i certificati SSL, così da essere accettati dalla libreria come validi.