В Ubuntu выявлена уязвимость, позволяющая обойти блокирование экрана в Unity
5 августа 2014 года
В Ubuntu 14.04 выявлена уязвимость, позволяющая обойти блокировку экрана в Unity и без ввода пароля выполнить команды в контексте рабочего стола отошедшего от компьютера пользователя. Примечательно, что несколько похожих уязвимостей было выявлено в апреле, но новая уязвимость имеет свою особенность - она вызвана потерей хранителем экрана контроля над вводом.
При манипуляциях с индикаторами на экране блокировки входа в систему, хранитель экрана теряет эксклюзивный контроль над вводом и клавиатурный ввод перенаправляется в заблокированное окружение рабочего стола, что позволяет злоумышленнику вслепую выполнить любые действия, в том числе запустить терминал и ввести в нём команды. Эффект вызван условиями гонки и с определённой долей вероятности возникает если после закрытия и открытия крышки ноутбука во время ввода пароля кликнуть на индикатор и вернуться в область ввода.
Проблема также может привести к случайной утечке пароля пользователя. Пользователь может невольно отключить перехват ввода хранителем экрана, тогда вводимый пароль будет перенаправлен в текущее активное приложение рабочего стола. В случае, если до блокировки экрана пользователь работал в браузере, он может случайно ввести пароль в web-форму и отправить её, например, в виде сообщения в социальной сети.
Проблема проявляется только в Ubuntu 14.04 и устранена в свежем обновлении пакета unity (7.2.2+14.04.20140714-0ubuntu1.1). После применения обновления требуется перезапустить сеанс рабочего стола.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
