Bollettino di sicurezza Linode dall'8 al 12 agosto 2022

Nel digest di questa settimana discuteremo di:

• una vulnerabilità cross-site scripting che può portare all'esecuzione di codice remoto in Joplin;
• una vulnerabilità di overflow del buffer in zlib; e
• vulnerabilità multiple identificate nel driver di visualizzazione NVIDIA GPU .

Joplin Esecuzione di codice remoto tramite XSS

È stata identificata una vulnerabilità di esecuzione del codice tramite XSS in Joplin, che potrebbe consentire agli aggressori di eseguire comandi arbitrari attraverso un payload artigianale iniettato nei titoli Node. Joplin è un'applicazione gratuita, open source e basata su markdown per prendere appunti, compatibile con diversi sistemi operativi come Windows, Mac e Linux. 

La vulnerabilità deriva dal modo in cui il metodo pericolosamenteSetInnerHTML() viene utilizzato con input dell'utente senza escape in GotoAnything.tsx. Ciò consente a un aggressore di ottenere l'esecuzione di codice remoto sul sistema della vittima semplicemente condividendo un blocco note con il payload vulnerabile nei titoli dei nodi. Il payload viene eseguito ogni volta che la vittima cerca il blocco note.

La patch è stata rilasciata nella versione v2.9.1 di Joplin. Sono interessate le versioni di Joplin v2.8.8 e precedenti. Questa vulnerabilità, registrata come CVE-2022-35131, è stata classificata 9.0 nel punteggio CVSS di NVD a causa dell'elevato impatto sulla riservatezza, l'integrità e la disponibilità. Un attacco riuscito richiede a qualsiasi utente autenticato di cercare il notebook vulnerabile.

Si consiglia di aggiornare Joplin all'ultima versione il prima possibile, soprattutto se si ricevono quaderni condivisi.

Vulnerabilità del buffer overflow di Zlib basata su Heap

È stata identificata una vulnerabilità di buffer overflow basata su heap in zlib, una popolare libreria generica utilizzata per la compressione dei dati. La vulnerabilità è stata registrata come CVE-2022-37434 e riguarda tutte le versioni inferiori alla 1.2.12.

Lo sfruttamento della vulnerabilità è possibile a causa di un buffer over-read o buffer overflow basato su heap in inflate.c attraverso un campo extra dell'intestazione gzip di grandi dimensioni. Secondo il commento alla richiesta di pull creata dagli sviluppatori, se il campo extra fosse più grande dello spazio fornito dall'utente con inflateGetHeader() e se più chiamate di inflate() fornissero i dati dell'intestazione extra, si potrebbe verificare un buffer overflow dello spazio fornito. Questa vulnerabilità riguarda solo le applicazioni che utilizzano il metodo inflateGetHeader(). 

Scoperte molteplici vulnerabilità per i driver del display NVIDIA GPU

NVIDIA, uno dei più famosi produttori di GPU , ha rilasciato un avviso di sicurezza per molteplici vulnerabilità scoperte nel suo driver di visualizzazione GPU per piattaforme Windows e Linux. Queste vulnerabilità possono essere sfruttate per eseguire vari tipi di attacchi, come la negazione del servizio, la divulgazione di informazioni, l'escalation dei privilegi, l'esecuzione di codice o la manomissione dei dati. 

Una delle vulnerabilità ad alta gravità, CVE-2022-31607, colpisce il livello della modalità kernel (nvidia.ko), dove un utente locale con capacità di base può causare una convalida impropria dell'input che porta a diversi percorsi di sfruttamento, secondo l'avviso di sicurezza diNVIDIA. Questa vulnerabilità riguarda Linux e ha un punteggio CVSS di 7,8 con un'alta valutazione su riservatezza, integrità e disponibilità. 

La CVE-2022-31608 descrive una vulnerabilità in un file di configurazione D-Bus opzionale che può portare all'esecuzione di codice. La vulnerabilità potrebbe essere sfruttata da un utente locale con capacità di base. La maggior parte delle CVE menzionate nell'avviso di sicurezza di NVIDIArichiedono privilegi locali sul sistema della vittima per poter essere sfruttate con successo. 

È possibile utilizzare questa guida di NVIDIA per capire quale NVIDIA driver di visualizzazione è attualmente installato nel PC.