Nell'aprile 2018, tre nuove vulnerabilità sono state annunciate dalla società di sicurezza polacca iSec Security Research in un kernel Linux che potrebbe consentire a un utente malintenzionato di elevare i propri privilegi sulla macchina ed eseguire programmi come amministratore root.
Open Source e Microsoft
A EEye Digital Security Microsoft ha notificato i difetti con la loro implementazione di ASN.1 otto mesi prima che finalmente annunciassero la vulnerabilità pubblicamente e rilasciò una patch. Erano otto mesi durante i quali i cattivi potevano scoprire e sfruttare il difetto.
L'open source tende a essere aggiornato e aggiornato molto più velocemente. Ci sono così tanti sviluppatori con accesso al codice sorgente che una volta scoperta una falla o una vulnerabilità e annunciata una patch o l'aggiornamento viene rilasciato il più rapidamente possibile. Linux è fallibile, ma la comunità open source sembra reagire molto più rapidamente ai problemi mentre si presentano e risponde con gli aggiornamenti appropriati molto più rapidamente piuttosto che cercare di seppellire l'esistenza della vulnerabilità fino a quando non si occupano di affrontarla.
Detto questo, gli utenti Linux dovrebbero essere consapevoli di queste nuove vulnerabilità e assicurarsi di essere sempre informati delle ultime patch e aggiornamenti dai loro rispettivi fornitori Linux. Un avvertimento con questi difetti è che non sono sfruttabili da remoto. Ciò significa che per attaccare il sistema utilizzando queste vulnerabilità è necessario che l'utente malintenzionato abbia accesso fisico alla macchina.
Molti esperti di sicurezza concordano sul fatto che una volta che un utente malintenzionato ha accesso fisico a un computer, i guanti sono spenti e quasi tutti i dispositivi di sicurezza possono essere bypassati. Sono le vulnerabilità sfruttate a distanza - difetti che possono essere attaccati da sistemi lontani o esterni alla rete locale - che presentano il maggior rischio.
