Açık kaynak libcue kütüphanesindeki bir bellek bozulması güvenlik açığı, saldırganların GNOME masaüstü ortamını çalıştıran Linux sistemlerinde rastgele kod çalıştırmasına izin verebilir.
İşaret sayfası dosyalarını ayrıştırmak için tasarlanmış bir kitaplık olan libcue, en son GNOME sürümlerine varsayılan olarak dahil edilen Tracker Miners dosya meta veri dizinleyicisine entegre edilmiştir.
İşaret sayfaları (veya CUE dosyaları), bir CD’deki ses parçalarının uzunluk, şarkı adı ve müzisyen gibi düzenini içeren düz metin dosyalarıdır ve ayrıca genellikle FLAC ses dosyası formatıyla eşleştirilir.
GNOME, Debian, Ubuntu, Fedora, Red Hat Enterprise ve SUSE Linux Enterprise gibi çeşitli Linux dağıtımlarında yaygın olarak kullanılan bir masaüstü ortamıdır.
Saldırganlar, GNOME Linux cihazlarındaki arama dizinini güncellemek için indirilen tüm dosyaları otomatik olarak dizine ekleyen Tracker Miners’ın avantajlarından yararlanarak, söz konusu kusurdan (CVE-2023-43641) kötü amaçlı kod yürütmek için başarıyla yararlanabilir.
Hatayı bulan GitHub güvenlik araştırmacısı Kevin Backhouse, “İzleyici madenciler tarafından kullanılma şekli nedeniyle, libcue’daki bu güvenlik açığı tek tıklamayla RCE haline geldi. GNOME kullanıyorsanız lütfen bugün güncelleyin” dedi.
Bu güvenlik açığından yararlanabilmek için, hedeflenen kullanıcının kötü amaçlarla oluşturulmuş bir .CUE dosyasını indirmesi gerekir; bu dosya daha sonra ~/Downloads klasöründe depolanır.
Bellek bozulması kusuru, Tracker Miners meta veri dizinleyicisi, kaydedilen dosyayı izleyici çıkarma işlemi yoluyla otomatik olarak ayrıştırdığında tetiklenir.
Backhouse, “Uzun lafın kısası, bu, bir saldırganın CVE-2023-43641’den yararlanması ve bilgisayarınızda kod yürütmesi için gereken tek şeyin kötü amaçlı bir bağlantıya yanlışlıkla tıklamak olduğu anlamına gelir” dedi.
Backhouse bir kavram kanıtlama istismarının tanıtımını yaptı ve Paylaşıldı Bugün erken saatlerde Twitter üzerinden bir video. Ancak PoC’nin yayımlanması, tüm GNOME kullanıcılarına sistemlerini güncellemeleri ve güvenliklerini sağlamaları için zaman sağlamak amacıyla ertelenecek.
PoC istismarının her Linux dağıtımında düzgün çalışması için ayarlanması gerekirken araştırmacı, “çok güvenilir” çalışan Ubuntu 23.04 ve Fedora 38 platformlarını hedef alan istismarlar oluşturduğunu söyledi.
Backhouse, “Testlerimde, PoC’nin doğru dağıtımda çalıştırıldığında çok güvenilir bir şekilde çalıştığını (ve yanlış dağıtımda çalıştırıldığında bir SIGSEGV’yi tetikleyeceğini) buldum” dedi.
“Başka herhangi bir dağıtım için PoC oluşturmadım ancak GNOME’u çalıştıran tüm dağıtımların potansiyel olarak istismar edilebilir olduğuna inanıyorum.”
CVE-2023-43641’in başarılı bir şekilde kullanılması, potansiyel bir kurbanın bir .cue dosyasını indirmesi için kandırılmasını gerektirse de, yöneticilerin sistemlere yama yapması ve bu güvenlik kusurunun oluşturduğu riskleri azaltması önerilir; çünkü bu, CVE-2023-43641’in en son sürümlerini çalıştıran cihazlarda kod yürütülmesini sağlar. Debian, Fedora ve Ubuntu dahil olmak üzere yaygın olarak kullanılan Linux dağıtımları.
Backhouse, son yıllarda, GNOME Display Manager’daki (gdm) ayrıcalık yükseltme hatası ve birçok modern Linux platformunda varsayılan olarak yüklenen polkit kimlik doğrulama sistemi hizmetinde kimlik doğrulama atlaması da dahil olmak üzere diğer ciddi Linux güvenlik kusurlarını buldu.
İlgili haberlerde, GNU C Kütüphanesi’nin dinamik yükleyicisindeki, CVE-2023-4911 olarak izlenen ve yerel saldırganların büyük Linux platformlarında kök ayrıcalıkları elde etmesine olanak tanıyan Looney Tunables’ın yüksek önemdeki kusuruna yönelik kavram kanıtlama istismarları halihazırda ortaya çıktı.