Linux Gnome 文件管理器存在关键代码注入漏洞

据外媒 7 月 19 日报道，德国安全研究人员 Nils Dagsson Moskopp 近期发现 GNOME Files 文件管理器存在一处代码注入漏洞 Bad Taste（ CVE-2017-11421 ），允许黑客在目标 Linux 计算机系统上执行恶意代码。

Bad Taste 漏洞驻留在 “ Gnome-Exe-Thumbnailer ”（ Gnome 图像处理工具软件 Thumbnailer ）中，其主要利用 GNOME 工具从 Windows 可执行文件（.exe / .msi / .dll / .lnk）中生成缩略图像，并要求用户在其系统上安装 Wine 应用程序方可查看。

Wine 是一款免费开源软件，可以让 Windows 应用程序在 Linux 操作系统上运行。Moskopp 表示，他在检测包含 .msi 文件目录时发现，GNOME Files 将文件名称作为可执行输入并创建运行缩略图像。为成功利用此漏洞，攻击者可以发送一个精心制作的 Windows 安装程序（ MSI ）文件，其文件名中包含恶意脚本代码。如果在易受攻击的系统上下载，则无需用户进一步交互便能损害系统设备。

目前，该漏洞影响 0.9.5 之前版本的 Gnome-Exe-Thumbnailer。因此，如果用户使用 GNOME 桌面运行 Linux 操作系统应及时更新并检查应用程序。与此同时，Moskopp 还建议用户删除 / usr / share / thumbnailers 中的所有文件、不要使用 GNOME 文件以及卸载任何便于自动执行文件名作为代码的恶意软件。

from hackernews.cc.thanks for it.