Netcrook Logo
👤 KERNELWATCHER
🗓️ 16 Jan 2026  

Il collasso della memoria di Go: vulnerabilità critiche esposte nei componenti core

Un’ondata di falle di sicurezza nella crittografia, nel networking e nella toolchain di Go apre la porta ad attacchi di denial-of-service ed esecuzione di codice.

Quando un software pensato per sostenere la spina dorsale dell’infrastruttura cloud e dello sviluppo moderno si rivela pieno di falle enormi, le onde d’urto si propagano ben oltre la comunità degli sviluppatori. Questa settimana, il linguaggio di programmazione Go - che in silenzio fa girare milioni di server, API e strumenti DevOps in tutto il mondo - è stato costretto alla modalità d’emergenza mentre i suoi maintainer rilasciavano in fretta patch per un gruppo di vulnerabilità gravi. Le falle, annidate nei sistemi fondamentali di crittografia, HTTP e build di Go, potrebbero consentire agli attaccanti di mandare in crash le applicazioni, dirottare sessioni cifrate e persino eseguire codice da remoto. Per le organizzazioni che si affidano a Go, il messaggio è chiaro: applicate le patch ora, o rischiate una violazione catastrofica.

L’anatomia di una crisi software

Le rivelazioni più allarmanti riguardano il modo in cui le stesse funzionalità di comodità di Go sono diventate passività di sicurezza. Nel modulo net/http - onnipresente in web server e API - la funzione Request.ParseForm non riusciva a validare correttamente i dati codificati in URL. Attori malevoli potevano sfruttare questa svista per costringere i server Go ad allocare memoria in eccesso, portando i servizi al blocco in un classico scenario di denial-of-service (DoS). Nel frattempo, il componente archive/zip soffriva di un difetto di indicizzazione dei file “super-lineare”, che consentiva a file ZIP appositamente costruiti di prosciugare risorse di CPU e memoria quando venivano aperti, aumentando la minaccia per le pipeline di elaborazione dei file e per i sistemi di storage cloud.

Ma la disponibilità non è stata l’unica vittima. L’implementazione crypto/tls di Go, fondamentale per le comunicazioni sicure, nascondeva una coppia di bug devastanti. Per prima cosa, la funzionalità di ripresa della sessione - progettata per velocizzare le connessioni cifrate - poteva copiare per errore chiavi segrete tra configurazioni isolate. Questo rendeva possibile per un client riprendere una sessione con un’istanza del server a cui non avrebbe mai dovuto poter accedere, minando i confini di fiducia essenziali alle architetture sicure. Peggio ancora, i certificati scaduti nella catena non venivano controllati correttamente durante la ripresa, permettendo agli attaccanti di bypassare l’autenticazione e prolungare la vita di sessioni compromesse.

Le vulnerabilità della toolchain erano altrettanto insidiose. Il team di sicurezza di Google ha evidenziato come gli attaccanti potessero sfruttare il processo di build di cmd/go iniettando flag del compilatore non sanificati o manipolando i metadati del controllo versione (VCS). Su sistemi che usano Mercurial, codice malevolo poteva essere eseguito durante il download dei moduli. Con Git, gli attaccanti potevano piazzare file in posizioni arbitrarie - potenzialmente portando a una compromissione completa del sistema.

Mettere in sicurezza le fondamenta

I maintainer di Go hanno risposto rapidamente, rilasciando le versioni 1.25.6 e 1.24.12 per neutralizzare queste minacce. Le correzioni rappresentano un importante sforzo di irrobustimento, ma l’episodio è un monito severo: anche le tecnologie open-source più affidabili non sono immuni da gravi sviste di progettazione. Per organizzazioni e sviluppatori, il costo della compiacenza potrebbe essere catastrofico. Il momento di aggiornare è adesso - prima che questi bug diventino la prossima violazione da prima pagina.

WIKICROOK

  • Denial: Denial in cybersecurity significa rendere sistemi o servizi non disponibili agli utenti, spesso tramite attacchi come il Denial-of-Service (DoS) che li inondano di traffico.
  • Ripresa della sessione: La ripresa della sessione consente alle connessioni sicure di riavviarsi in modo efficiente riutilizzando i dati della sessione cifrata precedente, riducendo il tempo di handshake e migliorando le prestazioni.
  • Esecuzione di codice arbitraria: L’esecuzione di codice arbitraria permette agli attaccanti di eseguire qualsiasi codice su un sistema, spesso portando al controllo completo, al furto di dati o all’installazione di malware.
  • Catena di certificati: Una catena di certificati è una sequenza di certificati digitali che verifica l’identità e stabilisce la fiducia nelle comunicazioni sicure tra client e server.
  • Toolchain: Una toolchain è una raccolta di strumenti software usati insieme per costruire, testare, distribuire e mettere in sicurezza progetti software in ambito cybersecurity.
Go vulnerabilities Denial-of-Service Code execution
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news