Yn y cyfleustodau ntfs-3g o'r gyfres NTFS-3G, sy'n cynnig gweithrediad gofod defnyddiwr o'r system ffeiliau NTFS, mae CVE-2022-40284 bregusrwydd wedi'i nodi, a allai ganiatΓ‘u i'r cod gael ei weithredu gyda hawliau gwraidd yn y system pan gosod rhaniad a ddyluniwyd yn arbennig. Mae'r bregusrwydd yn cael ei ddatrys yn natganiad NTFS-3G 2022.10.3.
Mae'r bregusrwydd yn cael ei achosi gan gamgymeriad yn y cod ar gyfer dosrannu metadata mewn rhaniadau NTFS, sy'n arwain at orlif byffer wrth brosesu delweddau gyda system ffeiliau NTFS a gynlluniwyd mewn ffordd benodol. Gellir cynnal yr ymosodiad pan fydd y defnyddiwr yn gosod delwedd neu yriant a baratowyd gan yr ymosodwr, neu wrth gysylltu USB Flash gyda rhaniad a ddyluniwyd yn arbennig i'r cyfrifiadur (os yw'r system wedi'i ffurfweddu i osod rhaniadau NTFS yn awtomatig gan ddefnyddio NTFS-3G). Nid yw campau gweithiol ar gyfer y bregusrwydd hwn wedi'u dangos eto.
Ffynhonnell: opennet.ru