Высокоопасная ошибка в GNOME чревата захватом всего Linux
В библиотеке для индексации аудиотреков обнаружилась уязвимость, допускающая запуск вредоносного кода. Эта библиотека по умолчанию поставляется вместе со средой GNOME под Linux
Опасная ошибка в файлах CUE
В десктоп-среде GNOME под Linux выявлена высокоопасная ошибка, позволяющая запускать произвольный код. Это позволяет перехватывать контроль над всей системой.
Уязвимость непосредственно присутствует в открытой библиотеке libcue, предназначенной для парсинга файлов меток (CUE sheet files). Эта библиотека встроена в индексатор файлов метаданных Tracker Miners, которая по умолчанию включена в последние версии GNOME.
Файлы CUE-меток - это простые текстовые файлы, в которых прописывается расположение и характеристики аудиотреков на компакт-дисках - в частности, имя исполнителя или название ансамбля, название самой композиции и его продолжительность.
Они же часто используются в связке с форматом FLAC.
GNOME - это популярная графическая среда для дистрибутивов Linux, которую поддерживают Debian, Ubuntu, Fedora, Red Hat Enterprise и SUSE Linux Enterprise.
Tracker Miners - это средство индексации всех скачанных файлов для ускорения поиска данных на устройствах под управлением Linux со средой GNOME.
И именно это средство и могут использовать злоумышленники в своих целях.
Как пояснил эксперт по информационной безопасности, сотрудник GitHub Кевин Бэкхаус (Kevin Backhouse), который и выявил уязвимость, то, как библиотека libcue используется в Tracker Miners, уязвимость CVE-2023-43641 допускает запуск вредоносного кода «в один клик».
На практике для эксплуатации этой уязвимости злоумышленнику потребуется заставить потенциальную жертву скачать специально подготовленный файл .CUE - который будет записан в папку ~/Downloads.
Как только парсер доберётся до этого файла, произойдёт сбой в памяти, который может быть использован для запуска вредоноса.
Проще некуда
Что касается доставки файла, то, по словам Бэкхауса, пользователю GNOME достаточно будет случайно кликнуть на опасную ссылку.
Бэкхаус призвал внести исправления «сегодня же».
Он же разработал тестовые эксплойты к уязвимости под GNOME в Ubuntu 23.04 и Fedora 38. Публиковать их, впрочем, он пока не стал, чтобы дать время пользователям внести исправления.
По словам Бэкхауса, другие дистрибутивы Linux также уязвимы, но для каждого нужен будет свой вариант эксплойта.
«На данный момент CVE-2023-43641 присвоен индекс угрозы 8,8 балла по шкале CVSS, что соответствует высокоопасной, но ещё не критической уязвимости, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Но индекс не должен никого обманывать: во-первых, это уже почти критический уровень, во-вторых, GNOME очень широко используется, а оценку угрозы той или иной уязвимости всегда следует умножать на показатель распространённости. Сама по себе эта ошибка относится к часто встречающейся разновидности Out-of-bounds Write, т.е. записи данных за пределами выделенной области памяти. Обычно это связано с промахом программиста, не реализовавшего надлежащую проверку ограничений».