Уязвимост при изпълнение на код в libcue при качване на файлове в GNOME

Беше идентифицирана уязвимост (CVE-2023-43641) в библиотеката на libcue, използвана за анализиране на метаданни с информация за реда и продължителността на аудиозаписите, което позволява изпълнение на код при обработка на специално проектирани cue файлове. Библиотеката се използва в някои медийни плейъри и аудио редактори, включително Audacious, и може да се използва за компрометиране на системи чрез излагане на ненадеждни данни пред тях.

Освен това, библиотеката libcue се използва в търсачката за тракер-миньори, използвана в потребителската среда на GNOME. Тъй като тракер-миньорите автоматично индексират нови медийни файлове в началната директория, за да атакуват GNOME системите и да накарат кода на атакуващия да се изпълни, всичко, което е необходимо е потребителят просто да качи специално създаден файл в ~/Downloads, ~/Music или ~ /Videos директория, без да се налага да я отваряте (например в някои случаи е достатъчно да щракнете върху връзка в браузъра).

Изследователите, които откриха уязвимостта, подготвиха работещ експлойт и демонстрираха възможността за експлоатиране на среди, базирани на Ubuntu 23.04 и Fedora 38. Кодът на експлойта ще бъде публикуван по-късно, за да се даде време на потребителите да инсталират корекцията. Експлойтът е стабилен, но изисква адаптиране за всяка дистрибуция.

Уязвимостта е причинена от препълване на цяло число в кода за анализ на параметъра INDEX и възниква, когато се посочват твърде големи числови стойности в този параметър, които не се вписват в типа „int“. За да преобразувате низ в число, използвайте функцията atoi, например, ако посочите числото 4294567296, то ще бъде преобразувано в -400000. Уязвимостта е пряко причинена от липсата на проверка на получената стойност, за да се гарантира, че тя може да бъде отрицателна. В резултат на това в кода след преобразуването на atoi се изпълнява операцията “track->index[i] = ind”, в която на “i” може да бъде присвоено отрицателно число, за да презапише областта на паметта извън буфера със стойността “ind”, който също се зарежда от файла, който се обработва.

В повечето дистрибуции на GNOME тракер-миньорите са активирани по подразбиране и се зареждат като твърда зависимост от файловия мениджър на Nautilus (файлове на GNOME). За да деактивирате тракер-миньорите за текущия потребител, можете да използвате командите: systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps .service tracker-writeback .service tracker reset --hard

Източник: opennet.ru