______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

В Ubuntu и CentOS отключена функция безопасности среды GNOME

В актуальных версиях Ubuntu и CentOS прекращена поддержка функции безопасности Bubblewrap, которая была добавлена ​​в среду рабочего стола GNOME в прошлом году.

Функция под названием Bubblewrap представляет собой среду песочницы, добавленную в GNOME Project для защиты парсеров миниатюр в июле 2017 года, с выпуском GNOME 3.26.

Парсерами миниатюр являются скрипты, которые читают файлы внутри каталога и создают миниатюрные изображения, использующиеся в GNOME, KDE и других рабочих средах Linux. Данная операция выполняется каждый раз, когда пользователь переходит к папкам и ОС необходимо отображать миниатюры для файлов, содержащихся внутри.

В последние годы исследователи безопасности доказали, что парсеры миниатюр могут рассматриваться в качестве одного из потенциальных векторов атаки. В частности, хакеры могут обманом заставить пользователя загрузить вредоносный файл на рабочий стол, после чего он будет выполнен парсером. В качестве ответной меры команда GNOME добавила Bubblewrap-песочницы для всех сценариев парсера.

Однако, по словам немецкого исследователя безопасности и журналиста Ханно Бекка (Hanno Boeck), операционная система Ubuntu прекращает поддержку Bubblewrap во всех последних версиях ОС.

Помимо этого, исследователь безопасности из Google Тавис Орманди (Tavis Ormandy)сообщил об отсутствии данной функции в стандартной версии CentOS 7.x.

По словам экспертов, команда Ubuntu решила отключить Bubblewrap из-за нехватки времени и ресурсов для доработки функции, однако ее возвращение в будущем не исключено.

«Bubblewrap — относительно новое программное обеспечение, которое выполняет ряд сложных задач для создания песочниц. Если мы просто слепо добавим его в Ubuntu, а затем обнаружим уязвимость, которую можно было бы найти заранее путем проверки кода, то поступим неосмотрительно по отношению к пользователям», — отметил один из разработчиков Алекс Мюррей (Alex Murray) изданию Bleeping Computer.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх