Ва ўтыліце ntfs-3g з набору NTFS-3G, які прапануе працавальную ў прасторы карыстача рэалізацыю файлавай сістэмы NTFS, выяўленая ўразлівасць CVE-2022-40284, патэнцыйна якая дазваляе выканаць код з правамі root у сістэме пры мантаванні адмыслова аформленай часткі. Уразлівасць ухіленая ў выпуску NTFS-3G 2022.10.3.
Уразлівасць выклікана памылкай у кодзе разбору метададзеных у NTFS-частках, які прыводзіць да перапаўнення буфера пры апрацоўцы вызначанай выявай аформленых выяў з ФС NTFS. Атака можа быць здзейснена пры мантаванні карыстачом выявы ці назапашвальніка, падрыхтаванага атакавалым, або пры падлучэнні да кампутара USB Flash са адмыслова аформленай часткай (калі сістэма наладжаная для аўтаматычнага мантавання частак NTFS пры дапамозе NTFS-3G). Рабочыя эксплоіты для названай уразлівасці пакуль не прадэманстраваны.
Крыніца: opennet.ru