Dans l'utilitaire ntfs-3g de la suite NTFS-3G, qui propose une implémentation en espace utilisateur du système de fichiers NTFS, une vulnérabilité CVE-2022-40284 a été identifiée, permettant potentiellement d'exécuter du code avec les droits root dans le système lorsque montage d'une cloison spécialement conçue. La vulnérabilité est résolue dans la version NTFS-3G 2022.10.3.
La vulnérabilité est causée par une erreur dans le code d'analyse des métadonnées dans les partitions NTFS, ce qui entraîne un débordement de tampon lors du traitement d'images avec le système de fichiers NTFS conçu d'une certaine manière. L'attaque peut être menée lorsque l'utilisateur monte une image ou un lecteur préparé par l'attaquant, ou lors de la connexion d'une clé USB avec une partition spécialement conçue à l'ordinateur (si le système est configuré pour monter automatiquement des partitions NTFS à l'aide de NTFS-3G). Les exploits fonctionnels pour cette vulnérabilité n’ont pas encore été démontrés.
Source: opennet.ru