V utilite ntfs-3g zo sady NTFS-3G, ktorá ponúka implementáciu súborového systému NTFS v užívateľskom priestore, bola identifikovaná zraniteľnosť CVE-2022-40284, ktorá potenciálne umožňuje spustenie kódu s právami root v systéme, keď montáž špeciálne navrhnutej priečky. Táto chyba zabezpečenia je vyriešená vo vydaní NTFS-3G 2022.10.3.
Zraniteľnosť je spôsobená chybou v kóde na analýzu metadát v oddieloch NTFS, čo vedie k pretečeniu vyrovnávacej pamäte pri spracovaní obrázkov s určitým spôsobom navrhnutým súborovým systémom NTFS. Útok môže byť vykonaný, keď používateľ pripojí obraz alebo disk pripravený útočníkom, alebo keď k počítaču pripojí USB Flash so špeciálne navrhnutou partíciou (ak je systém nakonfigurovaný tak, aby automaticky pripájal NTFS partície pomocou NTFS-3G). Pracovné využitie tejto zraniteľnosti ešte nebolo preukázané.
Zdroj: opennet.ru