NTFS-3G komplekta utilītprogrammā ntfs-3g, kas piedāvā NTFS failu sistēmas lietotāja telpas ieviešanu, ir identificēta ievainojamība CVE-2022-40284, kas, iespējams, ļauj izpildīt kodu ar saknes tiesībām sistēmā, kad īpaši izstrādātas starpsienas montāža. Ievainojamība ir novērsta NTFS-3G laidienā 2022.10.3.
Ievainojamību izraisa kļūda metadatu parsēšanas kodā NTFS nodalījumos, kas izraisa bufera pārpildīšanu, apstrādājot attēlus ar noteiktā veidā izstrādātu NTFS failu sistēmu. Uzbrukumu var veikt, kad lietotājs pievieno uzbrucēja sagatavotu attēlu vai disku vai pievieno datoram USB zibatmiņu ar īpaši izstrādātu nodalījumu (ja sistēma ir konfigurēta NTFS nodalījumu automātiskai pievienošanai, izmantojot NTFS-3G). Šīs ievainojamības darbības izmantošana vēl nav demonstrēta.
Avots: opennet.ru