NTFS-3G 套件中的 ntfs-3g 实用程序提供 NTFS 文件系统的用户空间实现,其中已识别出一个漏洞 CVE-2022-40284,该漏洞可能允许在以下情况下以系统 root 权限执行代码:安装专门设计的隔板。 该漏洞已在 NTFS-3G 版本 2022.10.3 中得到解决。
该漏洞是由于解析NTFS分区元数据的代码中存在错误,导致采用某种设计的NTFS文件系统处理图像时出现缓冲区溢出。 当用户挂载攻击者准备的映像或驱动器时,或者将带有专门设计的分区的USB闪存连接到计算机时(如果系统配置为使用NTFS-3G自动挂载NTFS分区),就可以进行攻击。 此漏洞的有效利用尚未得到证实。
来源: opennet.ru