Nel luglio 2017 è stata aggiunta in GNOME (release 3.26) una feature rivolta alla sicurezza chiamata Bubblewrap.

Nel corso degli anni gli esperti di sicurezza hanno dimostrato che l’utilizzo dei thumbnail parser, script che leggono i file contenuti in una directory per generarne le anteprime, potrebbe essere sfruttato in modo malevolo inducendo l’utente a scaricare un file non legittimo eseguito poi dal parser.

Bubblewrap nasce proprio per evitare che del codice nocivo venga eseguito sulla macchina e non è altro che una sandbox implementata per eseguire in sicurezza i parser.

I ricercatori Hanno Boeck (giornalista ed esperto di sicurezza freelance) e Tavis Ormandy (ricercatore in Google) hanno fatto notare come Ubuntu stia disabilitando questa feature in tutte le versioni più recenti di GNOME e come nella versione di default di CentOS 7.x Bubblewrap sia completamente assente.

La risposta è quindi subito arrivata: è stato disabilitato per  una questione di… sicurezza!

Alex Murray dell’Ubuntu Security Tech Lead riferisce:

If we just blindly promote it to [Ubuntu main] and then find out it has a vulnerability itself which we could have caught through code review beforehand, that is not a good outcome for our users.

Se lo promuovessimo ciecamente [sulla versione principale di Ubuntu] e poi scoprissimo che ha una vulnerabilità in sé che potremmo aver rilevato prima attraverso la revisione del codice, non sarebbe un buon risultato per i nostri utenti.

In poche parole: la revisione del codice richiede molte risorse e piuttosto che rifilare all’utente una cosa raffazzonata è meglio non darla proprio.

Indovinate un po’ su cosa si stanno concentrando gli sforzi del team sicurezza…

(Risposta: Spectre, Meltdown e, ultima entry, Foreshadow).

Elena Metelli

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.