Dalam utiliti ntfs-3g daripada suite NTFS-3G, yang menawarkan pelaksanaan ruang pengguna bagi sistem fail NTFS, kerentanan CVE-2022-40284 telah dikenal pasti, yang berpotensi membenarkan kod dilaksanakan dengan hak akar dalam sistem apabila memasang partition yang direka khas. Kerentanan diselesaikan dalam keluaran NTFS-3G 2022.10.3.
Kerentanan ini disebabkan oleh ralat dalam kod untuk menghuraikan metadata dalam partition NTFS, yang membawa kepada limpahan penimbal apabila memproses imej dengan sistem fail NTFS yang direka dengan cara tertentu. Serangan boleh dilakukan apabila pengguna memasang imej atau pemacu yang disediakan oleh penyerang, atau apabila menyambungkan USB Flash dengan partition yang direka khas ke komputer (jika sistem dikonfigurasikan untuk memasang partition NTFS secara automatik menggunakan NTFS-3G). Eksploitasi bekerja untuk kelemahan ini masih belum ditunjukkan.
Sumber: opennet.ru