در ابزار ntfs-3g از مجموعه NTFS-3G، که پیاده سازی فضای کاربر از سیستم فایل NTFS را ارائه می دهد، یک آسیب پذیری CVE-2022-40284 شناسایی شده است که به طور بالقوه اجازه می دهد تا کد با حقوق ریشه در سیستم اجرا شود. نصب یک پارتیشن با طراحی خاص این آسیبپذیری در نسخه NTFS-3G 2022.10.3 برطرف شده است.
این آسیبپذیری به دلیل یک خطا در کد تجزیه ابرداده در پارتیشنهای NTFS ایجاد میشود که منجر به سرریز بافر در هنگام پردازش تصاویر با سیستم فایل NTFS طراحی شده به روشی خاص میشود. حمله می تواند زمانی انجام شود که کاربر یک تصویر یا درایو آماده شده توسط مهاجم را نصب کند، یا هنگام اتصال یک USB Flash با یک پارتیشن مخصوص طراحی شده به رایانه (اگر سیستم برای نصب خودکار پارتیشن های NTFS با استفاده از NTFS-3G پیکربندی شده باشد). بهره برداری های کاری برای این آسیب پذیری هنوز نشان داده نشده است.
منبع: opennet.ru