Исследователь безопасности обнаружил уязвимость в репортере катастрофы Ubuntu, который позволил бы удаленное выполнение кода, позволяющее нападавшему поставить под угрозу систему, использующую просто злонамеренный файл.

Доннча О'Кирбхэйлл пишет, что ошибка безопасности проживает в инструменте сообщения катастрофы Apport на Ubuntu, которая может быть обманута в открытие злонамеренного файла катастрофы, который включает код Пайтона, выполненный на запуске.

“Уязвимый кодекс был введен 2012-08-22 в пересмотре Apport 2464. Этот кодекс был сначала включен в выпуск 2.6.1. Все версии Ubuntu Desktop 12.10 (Quantal) и позже включают этот уязвимый кодекс по умолчанию”, отмечает исследователь.

Доказательство понятия показывает, что возможно поставить под угрозу систему, используя эту уязвимость с помощью злонамеренного файла, который допускает произвольное выполнение кода, когда щелкнули. В образце исследователь запустил калькулятор Гнома с простым файлом отчета о катастрофе, объяснив, что кодекс может быть сохранен с .crash расширением или любым другим расширением, которое не зарегистрировано на Ubuntu.

“Apport, как правило, читает подмножество областей в файле катастрофы, чтобы подготовить графический интерфейс пользователя, который побуждает пользователя представлять отчет об ошибках. Область CrashDB не разобрана и выполнена, пока пользователь не соглашается представить отчет об ошибках. Однако, когда ProblemType: Ошибка установлена в файле катастрофы, Apport-GTK переключится на оптимизированный графический интерфейс пользователя Ошибки, который заставляет область CrashDB быть разобранной и выполненной без дальнейшего пользовательского взаимодействия”, объясняет он.

Недостаток уже исправлен

Хорошая вещь состоит в том, что недостаток был уже исправлен в Ubuntu 14 декабря, и кодовая проблема инъекции CrashDB перечислена как CVE-2016-9949, и ошибка пересечения пути - CVE-2016-9950.

О'Кирбхэйлл заканчивает свое примечание исследования советом для исследователей безопасности, чтобы проверить бесплатное и общедоступное программное обеспечение, потому что слабые места как это могут все еще существовать, позволяя нападавшим взять под свой контроль неисправленные системы.

Он отмечает, что к исследователям часто приближаются, чтобы продать слабые места, которые они находят, и только в этом случае, ему предложили 10 000$, чтобы обеспечить все подробности катастрофы, сообщающей об ошибке приложения. О'Кирбхэйлл подчеркивает, что компании должны предложить большие стимулы исследователям для их работы, объяснив, что Google и Microsoft идут в правильном направлении с их программами щедрости ошибки.