Ubuntu存在一個漏洞,讓任何可以實際操作電腦的人,都能繞過鎖定螢幕,輸入任意密碼登入系統。使用者只要讓電腦進入待命模式(Suspend Mode),移除硬碟後再次喚醒系統,便能輸入任何密碼登入系統,存取前一位使用者的敏感資訊。經網友測試這個臭蟲同時發生在Ubuntu 14.04、16.04、16.10與17.04,而其他Ubuntu生態系發布版像是Mate 18.04也在影響範圍內。

這個在Ubuntu Launchpad上,6月中被回報的臭蟲剛剛公開,臭蟲的重現步驟非常簡單,使用者在開啟一些應用程式後,讓系統進入待命模式,接著取下實體硬碟並再次喚醒系統,於鎖定畫面輸入任意密碼,便能成功存取系統。假設發生存取遭拒的狀況,也只要快速按下實體關機鍵,就能成功存取系統,遇到黑畫面的情況,只要重複按下關機鍵,再次進到輸入密碼的鎖定畫面步驟都能解決。

該漏洞最先在Ubuntu 16.04.4長期支援桌面版本被測試出來,回報者表示,他以應用程式Unity作為測試,即便移除了硬碟重新登入系統,仍然可以順暢的接續先前的工作階段。而這也代表,惡意人士有辦法存取前一名操作者使用過的敏感資料,這可能包含密碼管理器或是文件。回報者同時也測試了其他版本的Ubuntu,發現14.04、16.04、16.10與17.04也都受影響,也有其他網友發現,Mate 18.04也存在這個臭蟲,但是整體受影響的範圍目前仍不確定。

不過,Ubuntu安全工程師Marc Deslauriers似乎不認為這個臭蟲有辦法解決,他提到,當惡意人士有辦法實體的存取硬碟,那就表示他有辦法更換密碼並解鎖電腦。而這段話遭到網友反駁,認為這段話需要視條件成立,當這個臭蟲也能在全加密的硬碟中重新實現,那代表這是一個極度嚴重的臭蟲,因為能夠實體存取硬碟,不代表有能力存取加密硬碟上的資料。另外有網友提出直覺的觀點,表示密碼錯誤就不應該讓操作者能夠登入系統。


Advertisement

更多 iThome相關內容