Ir-rilaxx tal-proġett NTFS-3G 2022.5.17, li jiżviluppa sewwieq u sett ta 'utilitajiet biex taħdem mas-sistema tal-fajls NTFS fl-ispazju tal-utent, elimina 8 vulnerabbiltajiet li jippermettulek tgħolli l-privileġġi tiegħek fis-sistema. Il-problemi huma kkawżati min-nuqqas ta 'kontrolli xierqa meta tipproċessa l-għażliet tal-linja tal-kmand u meta taħdem b'metadata fuq diviżorji NTFS.
- CVE-2022-30783, CVE-2022-30785, CVE-2022-30787 - vulnerabbiltajiet fis-sewwieq NTFS-3G miġbura mal-librerija libfuse inkorporata (libfuse-lite) jew bil-librerija tas-sistema libfuse2. Attakkant jista' jesegwixxi kodiċi arbitrarju bi privileġġi tal-għeruq permezz tal-manipulazzjoni tal-għażliet tal-linja tal-kmand jekk ikollu aċċess għall-fajl eżekutibbli ntfs-3g fornut bil-bandiera tal-għeruq suid. Intwera prototip tax-xogħol tal-isfruttament għall-vulnerabbiltajiet.
- CVE-2021-46790, CVE-2022-30784, CVE-2022-30786, CVE-2022-30788, CVE-2022-30789 - vulnerabbiltajiet fil-kodiċi tal-parsing tal-metadata f'diviżorji NTFS, li jwasslu għal buffer overflow minħabba nuqqas kontrolli. L-attakk jista 'jsir meta tiġi pproċessata partizzjoni NTFS-3G ippreparata minn attakkant. Pereżempju, meta utent jimmonta drive ippreparat minn attakkant, jew meta attakkant ikollu aċċess lokali mhux privileġġjat għas-sistema. Jekk is-sistema hija kkonfigurata biex timmonta awtomatikament diviżorji NTFS fuq drives esterni, kulma hemm bżonn biex tattakka huwa li tikkonnettja USB Flash b'partizzjoni ddisinjata apposta mal-kompjuter. Sfruttamenti ta' ħidma għal dawn il-vulnerabbiltajiet għadhom ma ġewx murija.
Sors: opennet.ru