NTFS-3G-paketin ntfs-3g-apuohjelmassa, joka tarjoaa NTFS-tiedostojärjestelmän käyttäjätilan toteutuksen, on tunnistettu haavoittuvuus CVE-2022-40284, joka saattaa mahdollistaa koodin suorittamisen pääkäyttäjän oikeuksin järjestelmässä, kun erityisesti suunnitellun väliseinän asentaminen. Haavoittuvuus on korjattu NTFS-3G-julkaisussa 2022.10.3.
Haavoittuvuuden aiheuttaa NTFS-osioiden metatietojen jäsennyskoodin virhe, joka johtaa puskurin ylivuotoon käsiteltäessä kuvia tietyllä tavalla suunnitellulla NTFS-tiedostojärjestelmällä. Hyökkäys voidaan suorittaa, kun käyttäjä liittää hyökkääjän valmisteleman kuvan tai aseman tai kun tietokoneeseen liitetään USB-muisti, jossa on erityisesti suunniteltu osio (jos järjestelmä on määritetty liittämään automaattisesti NTFS-osiot NTFS-3G:n avulla). Tämän haavoittuvuuden hyväksikäyttöä ei ole vielä osoitettu.
Lähde: opennet.ru