В драйвере файловой системы NTFS-3G для Linux обнаружена опасная уязвимость

Уязвимость, позволяющую исполнить произвольный код с высшими привилегиями в операционной системе (ОС) Linux, обнаружена в драйвере файловой системы (ФС) NTFS-3G исследователями Ючен Цзэном и Эдуардо Велой, 31 октября сообщается в списке почтовой рассылки проекта OpenWall Linux.

Уязвимость получила код CVE-2022-40284. Она уже устранена в свежей версии драйвера NTFS-3G 2022.10.3.

Драйвер NTFS-3G обеспечивает работу с разделами ФС NTFS, характерных для ОС Windows. Выявлено, что при монтировании раздела возможно спровоцировать переполнение буфера в драйвере в связи некорректной обработкой данных.

В результате возможно выполнение произвольного кода при подключении специально подготовленного раздела. В частности, можно подготовить флеш-карту таким образом, что будет выполнен вредоносный код.

Особенно это опасно, если включено автоматическое монтирование разделов NTFS.