В Ubuntu выявлена уязвимость, позволяющая обойти блокирование экрана в Unity
2014-08-06
LinuxDoc.Ru,
В Ubuntu 14.04 выявлена уязвимость, позволяющая обойти блокировку экрана в Unity и без ввода пароля выполнить команды в контексте рабочего стола отошедшего от компьютера пользователя. Примечательно, что несколько похожих уязвимостей было выявлено в апреле, но новая уязвимость имеет свою особенность - она вызвана потерей хранителем экрана контроля над вводом.
При манипуляциях с индикаторами на экране блокировки входа в систему, хранитель экрана теряет эксклюзивный контроль над вводом и клавиатурный ввод перенаправляется в заблокированное окружение рабочего стола, что позволяет злоумышленнику вслепую выполнить любые действия, в том числе запустить терминал и ввести в нём команды. Эффект вызван условиями гонки и с определённой долей вероятности возникает если после закрытия и открытия крышки ноутбука во время ввода пароля кликнуть на индикатор и вернуться в область ввода.
Проблема также может привести к случайной утечке пароля пользователя. Пользователь может невольно отключить перехват ввода хранителем экрана, тогда вводимый пароль будет перенаправлен в текущее активное приложение рабочего стола. В случае, если до блокировки экрана пользователь работал в браузере, он может случайно ввести пароль в web-форму и отправить её, например, в виде сообщения в социальной сети.
Проблема проявляется только в Ubuntu 14.04 и устранена в свежем обновлении пакета unity (7.2.2+14.04.20140714-0ubuntu1.1). После применения обновления требуется перезапустить сеанс рабочего стола.
linux
Новости Linux
.
В Ubuntu выявлена уязвимость, позволяющая обойти блокирование экрана в Unity
В Ubuntu выявлена уязвимость, позволяющая обойти блокирование экрана в Unity
admin
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Если Вы обнаружите в опубликованных документах ошибки, опечатки, несоответствия и неточности -
сообщите о них.
>>> После года разработки и 29 экспериментальных версий представлен стабильный релиз открытой реализации Win32 API - Wine 6.0, который вобрал в себя более 8300 изменений. Из ключевых достижений новой версии отмечается поставка базовых модулей Wine в формате PE, бэкенд на основе графического API Vulkan для WineD3D, новая реализация текстовой консоли, поддержка DirectShow и фреймворка Media Foundation.
>>> Состоялся релиз Alpine
Linux 3.13, минималистичного дистрибутива, построенного на базе системной библиотеки Musl и набора утилит BusyBox. Дистрибутив отличается повышенными требованиями к обеспечению безопасности и собран с защитой SSP (Stack Smashing Protection). В качестве системы инициализации используется OpenRC, для управления пакетами применяется собственный пакетный менеджер apk. Alpine применяется для формирования официальных образов контейнеров Docker. Загрузочные iso-образы (x86_64, x86, armhf, aarch64, armv7, ppc64le, s390x, mips64) подготовлены в пяти вариантах: стандартном (130 МБ), с ядром без патчей (150 МБ), расширенном (570 МБ) и для виртуальных машин (40 МБ).
>>> 
MSN Погода – это легкое и удобное мобильное приложение для владельцев Android-смартфонов, которое позволяет получить прогноз погоды на ближайшие 5-10 дней, независимо от того, где именно находится человек. Утилита информирует об изменениях температуры воздуха, силе ветра, уровне влажности, возможных осадках и т. п.
>>> Началась подготовка к предстоящей заморозке пакетной базы выпуска Debian 11 "Bullseye", релиз которого ожидается летом 2021 года. Первая стадия заморозки пакетной базы намечена на 12 января 2021 года. На данном этапе будет прекращено выполнение "transitions" (обновление пакетов, требующее корректировки зависимостей у других пакетов, которое приводит к временному удалению пакетов из Testing), а также прекращено обновление пакетов, необходимых для сборки (build-essential).
Редакция портала:
Добро пожаловать на сайт, посвященный документации к ОС Linux, ее переводу и распространению. Мы надеемся, что Вы найдете тут всю необходимую информацию. Здесь представлены три основных вида документации на русском языке: руководства (man-pages), HOWTO и mini-HOWTO. В скором будущем возможно появление и других видов документации.
Авторские права на представленные документы принадлежат авторам перевода и распространяются в соответствии со Стандартной Общественной Лицензией, если в документе не указано обратное.
Если Вы обнаружите в опубликованных документах ошибки, опечатки, несоответствия и неточности - сообщите о них.