Бесплатно Экспресс-аудит сайта:

07.08.2014

Уязвимость в Ubuntu позволяет обойти блокировку экрана в Unity

В бесплатной ОС Ubuntu 14.04 была обнаружена серьезная уязвимость. Брешь позволяет выполнить обход блокировки экрана в оболочке Unity и выполнять команды через рабочий стол отошедшего от ПК пользователя. Ряд схожих проблем был обнаружен еще в апреле этого года, но свежая брешь обладает отличительной особенностью – она вызывается тем, что хранитель экрана утрачивает управление устройствами ввода.

При выполнении определенных манипуляций с индикаторами, отображающимися на экране блокировки, хранитель экрана утратит управление устройствами ввода. Таким образом ввод будет перенаправлен на рабочий стол текущего пользователя. Проэксплуатировав данную уязвимость, локальный взломщик сможет совершить любые действия в обход экрана блокировки, в том числе и запустить терминал и ввести команды. С определенным шансом брешь может проявиться, если быстро закрыть и открыть крышку ноутбука, а затем щелкнуть мышью по индикатору и перейти в панель ввода текста.

Из-за бреши может произойти непроизвольная компрометация пользовательских паролей. Если хранитель экрана потеряет контроль над вводом, все набираемые команды, включая пароли, будут перенаправлены в текущее активное приложение на рабочем столе. К примеру, если работал браузер, введенный пароль может быть случайно отправлен через любую web-форму.

В бюллетене безопасности USN-2301-1 указывается , что уязвимости подвержена лишь Ubuntu 14.04. Исправление, устраняющее эту брешь, уже доступно для загрузки. Для его применения пользователю необходимо загрузить последнее обновление пакета Unity и перезапустить сеанс рабочего стола.