В утиліті ntfs-3g з набору NTFS-3G, що пропонує реалізацію файлової системи NTFS, що працює в просторі користувача, виявлено вразливість CVE-2022-40284, що потенційно дозволяє виконати код з правами root в системі при монтуванні спеціально оформленого розділу. Уразливість усунена у випуску NTFS-3G 2022.10.3.
Уразливість викликана помилкою в коді аналізу метаданих у NTFS-розділах, що призводить до переповнення буфера при обробці певним чином оформлених образів з ФС NTFS. Атака може бути здійснена при монтуванні користувачем образу або накопичувача, підготовленого атакуючим, або при підключенні до комп'ютера USB Flash зі спеціально оформленим розділом (якщо система настроєна для автоматичного монтування розділів NTFS за допомогою NTFS-3G). Робочі експлоїти для вказаної вразливості поки що не продемонстровані.
Джерело: opennet.ru