В утилите ntfs-3g из набора NTFS-3G, предлагающего работающую в пространстве пользователя реализацию файловой системы NTFS, выявлена уязвимость CVE-2022-40284, потенциально позволяющая выполнить код с правами root в системе при монтировании специально оформленного раздела. Уязвимость устранена в выпуске NTFS-3G 2022.10.3.
Уязвимость вызвана ошибкой в коде разбора метаданных в NTFS-разделах, приводящий к переполнению буфера при обработке определённым образом оформленных образов с ФС NTFS. Атака может быть совершена при монтировании пользователем образа или накопителя, подготовленного атакующим, или при подключении к компьютеру USB Flash со специально оформленным разделом (если система настроена для автоматического монтирования разделов NTFS при помощи NTFS-3G). Рабочие эксплоиты для указанной уязвимости пока не продемонстрированы.
Источник: opennet.ru