V obslužném programu ntfs-3g ze sady NTFS-3G, který nabízí implementaci souborového systému NTFS v uživatelském prostoru, byla identifikována zranitelnost CVE-2022-40284, která potenciálně umožňuje spouštění kódu s právy root v systému, když montáž speciálně navržené přepážky. Tato chyba zabezpečení je vyřešena ve verzi NTFS-3G 2022.10.3.
Zranitelnost je způsobena chybou v kódu pro analýzu metadat v oddílech NTFS, což vede k přetečení vyrovnávací paměti při zpracování obrázků s určitým způsobem navrženým souborovým systémem NTFS. Útok lze provést, když uživatel připojí bitovou kopii nebo jednotku připravenou útočníkem, nebo když k počítači připojí USB Flash se speciálně navrženým oddílem (pokud je systém nakonfigurován tak, aby automaticky připojoval oddíly NTFS pomocí NTFS-3G). Funkční zneužití této chyby zabezpečení dosud nebylo prokázáno.
Zdroj: opennet.ru