15.11.2021 - L’NCSC ha esaminato una vulnerabilità informatica segnalata dal politecnico federale di Zurigo (PFZ) e, in veste di servizio specializzato autorizzato, ha assegnato per la prima volta un numero d’identificazione. La vulnerabilità Blacksmith, scoperta da ricercatori del PFZ, della società Qualcomm e dell’Università Vrije di Amsterdam, è stata resa pubblica.
L’NCSC assegna per la prima volta un numero d’identificazione «common vulnerability and exposure» valido a livello internazionale
Per evitare il più possibile lo sfruttamento delle vulnerabilità nei sistemi informatici, è fondamentale eliminarle rapidamente e comunicare l’informazione a gestori e produttori di tutto il mondo. L’organizzazione di utilità pubblica MITRE ha creato una banca dati di conoscenze in ambito di ciber-rischi accessibile a livello internazionale che fornisce una panoramica completa sulle possibili minacce e sui relativi aggiornamenti di sicurezza. A ogni vulnerabilità segnalata, chiamata «common vulnerability and exposure» (CVE), viene assegnato un numero d’identificazione univoco. Lo scorso settembre l’NCSC è stato riconosciuto da MITRE come servizio autorizzato ad assegnare numeri CVE. In questa veste, l’NCSC esamina, coordina e pubblica le vulnerabilità scoperte.
Il PFZ scopre e segnala la vulnerabilità
Nel primo trimestre dell’anno in corso alcuni ricercatori del PFZ, della società Qualcomm e dell’Università Vrije di Amsterdam hanno scoperto e segnalato all’NCSC una vulnerabilità su un chip di memoria. La vulnerabilità, denominata «Blacksmith», interessa tutti gli apparecchi che utilizzano un determinato chip RAM, prodotto da Samsung, SK Hynix e Micron e utilizzato da diverse imprese tecnologiche. Dato che questi chip RAM sono in uso in tutto il mondo, alla vulnerabilità è stato attribuito il livello «critical». Tuttavia, si stima che il rischio di abuso sia ridotto perché lo sfruttamento della vulnerabilità richiederebbe troppe risorse.
Maggiori informazioni sulla vulnerabilità Blacksmith si trovano nel documento di ricerca del PFZ.
L’NCSC esamina e coordina
Quale servizio specializzato recentemente autorizzato, l’NCSC funge da collegamento tra chi scopre le vulnerabilità, i produttori, i gestori e l’organizzazione MITRE. In questo ruolo, l’NCSC esamina la vulnerabilità, le assegna un numero d’identificazione CVE e ne coordina la pubblicazione. La vulnerabilità Blacksmith è la prima a cui l’NCSC ha assegnato un numero CVE ufficiale e per la quale ha coordinato tutte le fasi. La vulnerabilità «CVE-2021-42114» è stata pubblicata congiuntamente al PFZ il 15 novembre 2021.
Ultima modifica 15.11.2021
