U uslužnom programu ntfs-3g iz NTFS-3G paketa, koji nudi implementaciju NTFS sistema datoteka u korisničkom prostoru, identifikovana je ranjivost CVE-2022-40284, koja potencijalno dozvoljava izvršavanje koda sa root pravima u sistemu kada montaža posebno dizajnirane pregrade. Ranjivost je riješena u NTFS-3G izdanju 2022.10.3.
Ranjivost je uzrokovana greškom u kodu za raščlanjivanje metapodataka u NTFS particijama, što dovodi do prekoračenja bafera prilikom obrade slika sa NTFS datotečnim sistemom dizajniranim na određeni način. Napad se može izvesti kada korisnik montira sliku ili disk koji je pripremio napadač, ili kada poveže USB Flash sa posebno dizajniranom particijom na računar (ako je sistem konfigurisan da automatski montira NTFS particije pomoću NTFS-3G). Radni eksploatacije za ovu ranjivost još nisu demonstrirane.
izvor: opennet.ru