微慑信息网

Linux Gnome 文件管理器存在关键代码注入漏洞

据外媒 7 月 19 日报道,德国安全研究人员 Nils Dagsson Moskopp 近期发现 GNOME Files 文件管理器存在一处代码注入漏洞 Bad Taste( CVE-2017-11421 ),允许黑客在目标 Linux 计算机系统上执行恶意代码。

Bad Taste 漏洞驻留在 “ Gnome-Exe-Thumbnailer ”( Gnome 图像处理工具软件 Thumbnailer )中,其主要利用 GNOME 工具从 Windows 可执行文件(.exe / .msi / .dll / .lnk)中生成缩略图像,并要求用户在其系统上安装 Wine 应用程序方可查看。

Wine 是一款免费开源软件,可以让 Windows 应用程序在 Linux 操作系统上运行。Moskopp 表示,他在检测包含 .msi 文件目录时发现,GNOME Files 将文件名称作为可执行输入并创建运行缩略图像。为成功利用此漏洞,攻击者可以发送一个精心制作的 Windows 安装程序( MSI )文件,其文件名中包含恶意脚本代码。如果在易受攻击的系统上下载,则无需用户进一步交互便能损害系统设备。

wechatimg503

目前,该漏洞影响 0.9.5 之前版本的 Gnome-Exe-Thumbnailer。因此,如果用户使用 GNOME 桌面运行 Linux 操作系统应及时更新并检查应用程序。与此同时,Moskopp 还建议用户删除 / usr / share / thumbnailers 中的所有文件、不要使用 GNOME 文件以及卸载任何便于自动执行文件名作为代码的恶意软件。

 

from hackernews.cc.thanks for it.

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » Linux Gnome 文件管理器存在关键代码注入漏洞

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册