La libreria libinput, pilastro nella gestione dei dispositivi di input su Linux, ha ricevuto un aggiornamento urgente. È stata rilevata una vulnerabilità che consente a un periferico manipolato di ingannare il sistema udev. L'attaccante può eseguire codice malevolo con privilegi di amministratore, compromettendo la sicurezza del sistema senza necessità di accesso fisico diretto.
L'inganno a udev: come un mouse falso prende il controllo 🖱️
Il difetto risiede in come libinput elabora gli eventi dei dispositivi. Un periferico fraudolento può iniettare dati che udev interpreta come comandi validi per modificare le regole del sistema. Ciò consente all'attaccante di scalare i privilegi ed eseguire comandi arbitrari. La correzione ora valida in modo rigoroso l'origine di ogni evento, impedendo che una tastiera o un mouse falso si sostituisca ad altro hardware autorizzato.
La tua tastiera ti odia (e ora può cancellare il tuo sistema) ⌨️
Hai sempre sospettato che la tua tastiera avesse vita propria, ma ora si scopre che un mouse giocattolo può fare più danni di un hacker con la tonaca. La buona notizia è che non dovrai più colpire il tuo periferico con un martello per sentirti al sicuro. Aggiorna libinput e smetti di temere il mouse dell'ufficio. Almeno fino alla prossima patch.