NTFS-3G 套件中的 ntfs-3g 實用程式提供 NTFS 檔案系統的使用者空間實現,其中已識別出一個漏洞 CVE-2022-40284,該漏洞可能允許在以下情況下以系統 root 權限執行程式碼:安裝專門設計的隔板。 該漏洞已在 NTFS-3G 版本 2022.10.3 中解決。
此漏洞是由於解析NTFS分區元資料的程式碼中存在錯誤,導致採用某種設計的NTFS檔案系統處理影像時出現緩衝區溢位。 當使用者掛載攻擊者準備的映像或磁碟機時,或將具有專門設計的分割區的USB快閃記憶體連接到電腦時(如果系統配置為使用NTFS-3G自動掛載NTFS分割區),就可以進行攻擊。 此漏洞的有效利用尚未得到證實。
來源: opennet.ru