Yn it ntfs-3g-hulpprogramma fan 'e NTFS-3G-suite, dy't in ymplemintaasje fan' e brûkersromte biedt fan it NTFS-bestânsysteem, is in kwetsberens CVE-2022-40284 identifisearre, wêrtroch koade mooglik kin wurde útfierd mei rootrjochten yn it systeem as mounting in spesjaal ûntwurpen ôfskieding. De kwetsberens wurdt oplost yn NTFS-3G release 2022.10.3.
De kwetsberens wurdt feroarsake troch in flater yn 'e koade foar it parsearjen fan metadata yn NTFS-partysjes, wat liedt ta in bufferoerstream by it ferwurkjen fan ôfbyldings mei it op in bepaalde manier ûntwurpen NTFS-bestânsysteem. De oanfal kin útfierd wurde as de brûker in ôfbylding of stasjon monteart dy't taret is troch de oanfaller, of by it ferbinen fan in USB Flash mei in spesjaal ûntworpen partition oan 'e kompjûter (as it systeem is konfigureare om automatysk NTFS-partysjes te mount mei NTFS-3G). Wurkexploitaasjes foar dizze kwetsberens binne noch net oantoand.
Boarne: opennet.ru