圖片來源: 

翻攝自Donncha O'Cearbhaill示範影片

安全研究人員Donncha O'Cearbhaill本周揭露了Ubuntu平台上一個允許遠端程式攻擊的安全漏洞,該漏洞存在於Ubuntu內的當機報告機制Apport中,影響Ubuntu桌面版12.10 (Quantal)及以後的版本,該漏洞上周已被修補

O'Cearbhaill說明,Apport通常會讀取當機檔案中的子集,以提出一個可提醒使用者提交當機報告的圖形使用者介面,此一CrashDB欄位會在使用者同意提交當機報告時才進行解析與執行,但當中存在的臭蟲使得即使缺乏使用者互動也會被解析及執行。

該漏洞編號為CVE-2016-9949,可將python程式碼注入當機文件中,意味著可嵌入任何的python執行程式。CVE-2016-9949非常容易開採,駭客只要引誘使用者開啟一個惡意的apport .crash文件即可,且O'Cearbhaill已打造出攻擊程式並透過GitHub公開。

O'Cearbhaill還發現了另一個編號為CVE-2016-9950的造訪路徑(Path Traversal)漏洞。提供相關漏洞的細節予Canonical替O'Cearbhaill贏得了1萬美元的獎金。

O'Cearbhaill認為,抓漏獎勵對研究人員來說是個很好的鼓勵,此一措施只會讓軟體愈來愈安全,讓漏洞愈來愈難被發現,有營利的業者不應期待安全研究人員免費奉上研究成果。


Advertisement

更多 iThome相關內容