В ядре популярного мультимедийного фреймворка GStreamer, который является неотъемлемой частью графической среды GNOME, обнаружен пакет из десяти критических уязвимостей. Все они позволяют злоумышленнику выполнить произвольный код на атакуемой системе, просто заставив её обработать специально сформированный мультимедийный файл. Угроза носит массовый характер, поскольку механизмы автоматической индексации файлов в GNOME могут бесшумно активировать эксплойт без ведома пользователя. Две из обнаруженных проблем получили высочайшую оценку критичности - 8.8 баллов по шкале CVSS, остальным присвоен рейтинг 7.8.
Техническая суть проблем
Все уязвимости связаны с некорректной обработкой данных в различных компонентах, известных как «плагины». Восемь из них - это классические переполнения буфера, когда приложение записывает данные за пределы выделенной области памяти из-за отсутствия проверок размера. Оставшиеся две представляют собой целочисленные переполнения, которые также могут привести к повреждению памяти и последующему выполнению кода. Проблемы затрагивают обработку широкого спектра форматов: от устаревших (AVI, RealMedia) до современных (H.266, он же VVC - Versatile Video Coding), а также субтитров DVB-SUB, изображений JPEG и сетевого протокола RTP (Real-time Transport Protocol).
Контекст и масштаб угрозы: почему это опасно именно для пользователей GNOME?
Сама по себе библиотека GStreamer используется повсеместно, однако главную опасность создаёт её интеграция с компонентами автоматической индексации файлов в среде GNOME. Речь идёт о поисковом движке localsearch (ранее известном как tracker-miners). Этот сервис работает в фоновом режиме и автоматически сканирует файлы в домашнем каталоге пользователя, извлекая из них метаданные (например, теги из музыкальных файлов или информацию о видео) для быстрого поиска. Он является жёсткой зависимостью для файлового менеджера Nautilus (GNOME Files) и устанавливается по умолчанию во многих популярных дистрибутивах, включая Ubuntu, Fedora и Debian.
Таким образом, вектор атаки становится тривиальным: злоумышленнику достаточно любым способом разместить в домашней директории жертвы вредоносный файл в одном из уязвимых форматов. Это можно сделать, например, отправив файл по электронной почте, через мессенджер или разместив его на веб-странице. Как только файл попадёт на диск, фоновый процесс localsearch попытается его проиндексировать, что приведёт к обработке файла уязвимым кодом GStreamer и потенциальному выполнению злонамеренного кода от имени пользователя. При этом пользователь может даже не открывать сам файл.
Меры защиты и текущий статус
Основным методом защиты является немедленное обновление пакета GStreamer до версии 1.28.1, в которой все перечисленные уязвимости устранены. Разработчики основных дистрибутивов уже начали работу по внедрению исправлений, и статус для каждой системы можно отслеживать на специальных страницах обновлений безопасности.
В качестве временной меры можно отключить автоматическое извлечение метаданных. Для этого необходимо удалить файлы с правилами из каталогов "/usr/share/localsearch3/extract-rules/" или "/usr/share/tracker3-miners/extract-rules/". Однако это негативно скажется на функциональности поиска в системе. Важно отметить, что начиная с версии GNOME 46, процесс localsearch запускается в изолированной среде (песочнице, или «сэндбоксе»), что в теории должно ограничивать потенциальный ущерб от эксплуатации подобных уязвимостей. Тем не менее, полагаться исключительно на эту меру не стоит.
Рекомендации для специалистов и пользователей
Данный инцидент ярко иллюстрирует риски, связанные со сложными цепочками зависимостей в современных операционных системах. Уязвимость в низкоуровневой мультимедийной библиотеке, которая сама по себе может не иметь сетевого интерфейса, превращается в критическую угрозу удалённого выполнения кода благодаря её интеграции в автоматизированные фоновые процессы.
Администраторам и пользователям настоятельно рекомендуется в первую очередь проверить и установить доступные обновления безопасности. Кроме того, стоит пересмотреть политики автоматической обработки непроверенных файлов в корпоративных средах. Для бизнеса этот случай также служит напоминанием о важности контроля за устанавливаемым по умолчанию программным обеспечением и понимания того, какие фоновые сервисы активны в рабочих станциях сотрудников. Эксплуатация любой из этих десяти уязвимостей может стать начальной точкой для полноценной компрометации рабочей станции и последующего перемещения злоумышленника по корпоративной сети.
Ссылки
- https://www.zerodayinitiative.com/advisories/ZDI-26-167/
- https://www.zerodayinitiative.com/advisories/ZDI-26-166/
- https://www.zerodayinitiative.com/advisories/ZDI-26-161/
- https://www.zerodayinitiative.com/advisories/ZDI-26-162/
- https://www.zerodayinitiative.com/advisories/ZDI-26-163/
- https://www.zerodayinitiative.com/advisories/ZDI-26-164/
- https://www.zerodayinitiative.com/advisories/ZDI-26-165/
- https://www.zerodayinitiative.com/advisories/ZDI-26-168/
- https://www.zerodayinitiative.com/advisories/ZDI-26-169/
- https://www.zerodayinitiative.com/advisories/ZDI-26-170/
