Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
Scritto da
Kevin Poireault
I ricercatori di Koi Security hanno scoperto che tre delle estensioni ufficiali di Anthropic per Claude Desktop erano vulnerabili all'iniezione rapida.
Le vulnerabilità, segnalate tramite il programma HackerOne di Anthropic il 3 luglio e verificate come di gravità elevata (CVSS 8.9), hanno interessato i connettori Chrome, iMessage e Apple Notes.
Queste estensioni sono server Model Context Protocol (MCP) preconfigurati, disponibili per il download dal marketplace di Anthropic. Consentono a Claude, il modello linguistico di base (LLM) su cui si basano tutti gli strumenti di Anthropic, di agire per conto dell'utente utilizzando il web e le applicazioni a cui si connette.
A prima vista, queste estensioni sembrano molto simili alle estensioni del browser, come quelle di Chrome, e offrono la stessa esperienza di installazione con un clic.
Iniezione di comandi non sanificati in estensioni non sandboxate
Mentre le estensioni di Chrome vengono eseguite in un processo del browser sandbox, le estensioni di Claude Desktop vengono eseguite in modalità completamente non sandbox sul dispositivo dell'utente, con autorizzazioni di sistema complete.
"Ciò significa che possono leggere qualsiasi file, eseguire qualsiasi comando, accedere alle credenziali e modificare le impostazioni di sistema. Non sono plugin leggeri: sono esecutori privilegiati che collegano il modello di intelligenza artificiale di Claude e il sistema operativo", hanno scritto i ricercatori di Koi Security in un rapporto del 5 novembre.
Le vulnerabilità che interessano le tre estensioni sono dovute all'iniezione di comandi non sanificati, che potrebbero trasformare qualsiasi domanda innocua rivolta a Claude in un'esecuzione di codice remoto (RCE) su una macchina se un malintenzionato riesce a creare contenuti a cui accede Claude Desktop.
L'assistente, agendo in buona fede, esegue comandi dannosi perché ritiene di seguire istruzioni legittime.
L'aggressore potrebbe quindi riuscire a raccogliere informazioni chiave, come chiavi SSH, credenziali AWS o password del browser.
Queste vulnerabilità sono state completamente risolte da Anthropic nella versione 0.1.9. Le correzioni sono state verificate da Koi Security il 19 settembre.
Potrebbe anche piacerti
Le organizzazioni hanno affrontato solo il 21% delle vulnerabilità legate alla GenAI
Microsoft 365 Copilot: la nuova vulnerabilità dell'intelligenza artificiale Zero-Click consente il furto di dati aziendali
Google OSS-Fuzz sfrutta l'intelligenza artificiale per svelare 26 vulnerabilità di sicurezza nascoste
I ricercatori di Google affermano di aver scoperto la prima vulnerabilità utilizzando l'intelligenza artificiale
Il database DeepSeek esposto rivela dati sensibili
Cosa c'è di nuovo su Infosecurity Magazine?
CISA e NSA delineano le migliori pratiche per proteggere i server Exchange
Nuove falle GDI potrebbero consentire l'esecuzione di codice remoto in Windows
Il bilanciatore del protocollo DeFi perde oltre 120 milioni di dollari in un furto informatico
Gli hacker aiutano i gruppi della criminalità organizzata nei furti di merci, scoprono i ricercatori
L'identità è ora la principale fonte di rischio nel cloud
La polizia francese sequestra 1,6 milioni di euro durante la repressione della rete di truffe basate su criptovalute
Le vittime del ransomware Leak Site aumentano del 13% in un anno
Europol avverte della crescente minaccia degli attacchi di spoofing dell'ID chiamante
Un gruppo di hacker legato al Pakistan prende di mira il governo indiano
Gli hacker aiutano i gruppi della criminalità organizzata nei furti di merci, scoprono i ricercatori
Il sospettato di Conti in tribunale dopo l'estradizione dall'Irlanda
Difetti critici trovati nei componenti aggiuntivi di Elementor King interessano 10.000 siti
Conformità IT basata sul rischio: il caso della quantificazione del rischio informatico guidata dal business
Padroneggiare l'identità e l'accesso per entità cloud non umane
Prevedere e dare priorità agli attacchi informatici utilizzando l'intelligence sulle minacce
Padroneggiare le normative emergenti: conformità alle leggi DORA, NIS2 e AI
Difesa informatica nell'era dell'intelligenza artificiale: anticipare le minacce senza compromettere la sicurezza
Ecosistema di sicurezza OT per la riduzione mirata dei rischi e la segnalazione
Perché l'intelligenza artificiale ombra è la prossima grande sfida di governance per i CISO
Come le aziende di medie dimensioni possono sfruttare la sicurezza Microsoft per difese proattive
Il CISO di ING spiega come le tecnologie e le normative emergenti stanno rimodellando la sicurezza informatica nella finanza
Come i team di sicurezza possono gestire i rischi dell'intelligenza artificiale agentica
NCSC: correggi subito il bug critico di Oracle EBS
Le app VPN gratuite sono piene di falle di sicurezza
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube