Στο βοηθητικό πρόγραμμα ntfs-3g από τη σουίτα NTFS-3G, η οποία προσφέρει μια εφαρμογή χώρου χρήστη του συστήματος αρχείων NTFS, έχει εντοπιστεί μια ευπάθεια CVE-2022-40284, η οποία ενδεχομένως επιτρέπει την εκτέλεση κώδικα με δικαιώματα ρίζας στο σύστημα όταν τοποθέτηση ενός ειδικά σχεδιασμένου χωρίσματος. Το θέμα ευπάθειας επιλύεται στην έκδοση NTFS-3G 2022.10.3.
Η ευπάθεια προκαλείται από ένα σφάλμα στον κώδικα για την ανάλυση μεταδεδομένων σε κατατμήσεις NTFS, το οποίο οδηγεί σε υπερχείλιση buffer κατά την επεξεργασία εικόνων με το σύστημα αρχείων NTFS που έχει σχεδιαστεί με συγκεκριμένο τρόπο. Η επίθεση μπορεί να πραγματοποιηθεί όταν ο χρήστης προσαρτά μια εικόνα ή μονάδα δίσκου που έχει προετοιμαστεί από τον εισβολέα ή όταν συνδέει ένα USB Flash με ένα ειδικά σχεδιασμένο διαμέρισμα στον υπολογιστή (εάν το σύστημα έχει ρυθμιστεί να προσαρτά αυτόματα διαμερίσματα NTFS χρησιμοποιώντας NTFS-3G). Δεν έχουν ακόμη αποδειχθεί λειτουργικά εκμεταλλεύσεις για αυτήν την ευπάθεια.
Πηγή: opennet.ru