NTFS-3G rinkinio ntfs-3g paslaugų programoje, kuri siūlo NTFS failų sistemos naudotojo erdvės diegimą, buvo nustatytas pažeidžiamumas CVE-2022-40284, dėl kurio galima vykdyti kodą su root teisėmis sistemoje, kai specialiai sukurtos pertvaros montavimas. Pažeidžiamumas pašalintas NTFS-3G leidime 2022.10.3.
Pažeidžiamumą sukelia NTFS skaidinių metaduomenų analizės kodo klaida, dėl kurios apdorojant vaizdus su tam tikru būdu sukurta NTFS failų sistema atsiranda buferio perpildymas. Ataka gali būti įvykdyta, kai vartotojas prijungia užpuoliko paruoštą vaizdą ar diską, arba kai prie kompiuterio prijungia USB atmintinę su specialiai sukurtu skaidiniu (jei sistema sukonfigūruota automatiškai prijungti NTFS skaidinius naudojant NTFS-3G). Šio pažeidžiamumo išnaudojimai dar nebuvo pademonstruoti.
Šaltinis: opennet.ru