به تازگی یک آسیبپذیری با شناسه CVE-2023-43641 و شدت 8.8 در رابط گرافیکی دسکتاپ GNOME شناسایی شده است که دلیل آن نقص اختلال در حافظه یا memory corruption در کتابخانه متن باز libcue عنوان شده است. این کتابخانه در Tracker Miner به عنوان ابزار داده¬کاوی در فایل سیستم، کاربرد دارد.
این آسیبپذیری، ریشه در دسترسی به index های خارج از محدوده (out-of-bounds) یک آرایه در تابع (track_set_index) دارد. مهاجم میتواند با فریب دادن قربانی برای کلیک کردن روی پیوند مخرب و دانلود یک فایل cue، امکان اجرای کد در دستگاه قربانی را بدست آورد. از آنجا که در GNOME، فایل¬ها در مسیر /Downloads ذخیره میشوند، با توجه به پسوند این فایل، Tracker Miner با استفاده از libcue شروع به تحلیل این فایل میکند. از این طریق مهاجم قادر به اجرای حمله کد از راه دور (RCE) خواهد بود.
محصولات تحت تأثیر
این رابط کاربری که در اکثر توزیع¬های لینوکس مانند Debian، Fedora و Ubuntu به عنوان محیط گرافیکی دسکتاپ در حالت پیشفرض استفاده میشود، طیف وسیعی از کاربران لینوکس را در معرض این آسیبپذیری قرار میدهد. نسخههای 2.2.1 و قبل تر کتابخانه libcue تحت تاثیر این آسیبپذیری قرار دارند.
توصیههای امنیتی
کاربران نسخههای مختلف لینوکس باید هرچه سریع¬تر، سیستمعامل خود را به آخرین منتشر شده بروزرسانی کنند.
منابع خبر:
[1] https://thehackernews.com/2023/10/libcue-library-flaw-opens-gnome-linux.html
[2] https://github.com/lipnitsk/libcue/security/advisories/GHSA-5982-x7hv-r9cj
[3]https://lists.fedoraproject.org/archives/list/packageannounce@lists.fedoraproject.org/message/U7FPN…
- 115