Ekspert ds. Bezpieczeństwa odkrył u luka w zabezpieczeniach Ubuntu Crash Reporter co mogło pozwalają na zdalne wykonanie kodu, co może spowodować, że złośliwy użytkownik lub osoba atakująca będzie mogła naruszyć bezpieczeństwo systemu operacyjnego. Według jego odkrywcy, Donncha O'Cearbhaill, luka w zabezpieczeniach jest obecna w narzędziu Ubuntu do zgłaszania zamknięć lub wywala Apport, oprogramowanie, które można oszukać, aby otworzyć plik dziennik awarii złośliwy kod zawierający kod Pythona, który byłby wykonywany podczas uruchamiania systemu.
Dowód koncepcji lub dowód koncepcji pokazuje, że możliwe jest złamanie zabezpieczeń systemu wykorzystującego tę lukę za pomocą złośliwego pliku, który po kliknięciu umożliwi wykonanie dowolnego kodu. W wersji demonstracyjnej ekspert ds. Bezpieczeństwa i badacz otworzył kalkulator GNOME z prostym plikiem raportu o awarii i wyjaśnił to kod można zapisać z rozszerzeniem .crash lub jakimkolwiek innym rozszerzeniem, które nie jest zarejestrowane w systemie Ubuntu.
Reporter awarii Ubuntu MIAŁ poważną lukę w zabezpieczeniach
Podatny kod został wprowadzony 22 w poprawce Apport 08. Kod ten został po raz pierwszy zawarty w 2012. Wszystkie wersje Ubuntu od 2464 (Quantal) i nowsze zawierają domyślnie ten podatny kod.
Dobrze, że luka w zabezpieczeniach została naprawiona w tym tygodniu, 14 grudnia, co pokazuje, jak ważne jest posiadanie zawsze dobrze zaktualizowanego systemu operacyjnego. Aby to zrobić, możemy poczekać na pojawienie się nowego powiadomienia o aktualizacji, otworzyć aplikację Software Update lub, która jest ważna dla dowolnego systemu operacyjnego opartego na Ubuntu, otworzyć terminal i wpisać następujące polecenie:
sudo apt update && sudo apt upgrade -y && sudo apt autoremove -y
Właściwie jedyne potrzebne w 100% polecenie jest drugie, ale warto umieścić pierwsze, aby zaktualizować repozytoria, a ostatnie, aby wyeliminować wszelkie pozostałości, które mogły zostać pozostawione przez nowe instalacje. W każdym razie, cokolwiek robisz, zaktualizuj tak szybko, jak to możliwe.