Rilevata nell’app EdgeRover di Western Digital una minaccia per dispositivi con sistema operativo Windows e macOS: un bug di tipo trasversale ha reso i computer ospitanti vulnerabili a furti di dati sensibili e ad attacchi DoS. Western Digital è immediatamente corsa ai ripari: vediamo come. 
Western Digital è il principale produttore di dischi rigidi al mondo, con oltre mezzo secolo di attività e di esperienza alle spalle. La società, con sede a San Jose in California, nelle scorse settimane è dovuta correre ai ripari sul versante software a causa di una vulnerabilità che l’app proprietaria EdgeRover ha causato ai computer con sistema operativo Windows e macOS.
EdgeRover è una app di gestione dei contenuti che consente di mantenere un’unica interfaccia per amministrare più dispositivi di archiviazione relativamente ai prodotti della Western Digital e di SanDisk.
A seguito della segnalazione giunta dall’utente Xavier Danest, ringraziato pubblicamente dalla stessa Western Digital, dopo tempestive verifiche la compagnia ha comunicato che nella app EdgeRover era stata riscontrata una “vulnerabilità di attraversamento delle directory che consentiva a un utente malintenzionato di eseguire un’escalation dei privilegi locali e sfuggire al sandboxing di base del file system”.
L’aggiornamento di riparazione del bug da parte di Western Digital
Dunque questa vulnerabilità, se sfruttata con successo, poteva condurre alla divulgazione di informazioni riservate e ad attacchi DoS di denial-of-service. Ed essendo la platea mondiale di utilizzatori della app particolarmente estesa, potenzialmente il difetto avrebbe interessato migliaia di utenti.
Usiamo il passato ed il condizionale perché, come comunicato anche attraverso il sito ufficiale, “questa vulnerabilità in EdgeRover è stata risolta modificando le autorizzazioni di file e directory per consentire il caricamento dei file solo da determinate cartelle”.
La versione del fix, tanto per sistemi Windows quanto per macOS, è la 1.5.1-594 e, a detta della Western, risolve completamente la vulnerabilità. Gli utenti che ancora non avessero provveduto ad aggiornare, possono trovare il fix a questo link.
