Ang pagpagawas sa NTFS-3G 2022.5.17 nga proyekto, nga nagpalambo sa usa ka drayber ug usa ka hugpong sa mga utilities alang sa pagtrabaho uban sa NTFS file system sa user space, giwagtang ang 8 ka mga kahuyangan nga nagtugot kanimo sa pagpataas sa imong mga pribilehiyo sa sistema. Ang mga problema gipahinabo sa kakulang sa husto nga pagsusi kung giproseso ang mga kapilian sa linya sa command ug kung nagtrabaho kauban ang metadata sa mga partisyon sa NTFS.
- CVE-2022-30783, CVE-2022-30785, CVE-2022-30787 - mga kahuyangan sa driver sa NTFS-3G nga giipon sa built-in nga libfuse library (libfuse-lite) o sa libfuse2 system library. Ang usa ka tig-atake makahimo sa arbitraryong code nga adunay mga pribilehiyo sa gamut pinaagi sa pagmaniobra sa mga opsyon sa command line kung sila adunay access sa ntfs-3g executable file nga gihatag uban sa suid root flag. Usa ka nagtrabaho nga prototype sa pagpahimulos gipakita alang sa mga kahuyangan.
- CVE-2021-46790, CVE-2022-30784, CVE-2022-30786, CVE-2022-30788, CVE-2022-30789 - mga kahuyangan sa metadata parsing code sa NTFS partitions, tungod sa kakulang sa buffer overflow mga tseke . Ang pag-atake mahimoβg himuon sa pagproseso sa partisyon sa NTFS-3G nga giandam sa usa ka tig-atake. Pananglitan, kung ang usa ka user nag-mount sa usa ka drive nga giandam sa usa ka tig-atake, o kung ang usa ka tig-atake adunay dili pribilihiyo nga lokal nga pag-access sa sistema. Kung ang sistema gi-configure aron awtomatiko nga i-mount ang mga partisyon sa NTFS sa mga eksternal nga drive, ang kinahanglan nga pag-atake mao ang pagkonektar sa usa ka USB Flash nga adunay espesyal nga gidisenyo nga partisyon sa kompyuter. Ang mga pagpahimulos sa pagtrabaho alang niini nga mga kahuyangan wala pa gipakita.
Source: opennet.ru