Исходное сообщение
"В Ubuntu выявлена уязвимость, позволяющая обойти блокировани..." Отправлено opennews, 05-Авг-14 17:41
В Ubuntu 14.04 выявлена уязвимость (http://www.ubuntu.com/usn/usn-2303-1/), позволяющая (https://bugs.launchpad.net/ubuntu/+source/unity/+bug/1349128) обойти блокировку экрана в Unity и без ввода пароля выполнить команды в контексте рабочего стола отошедшего от компьютера пользователя. Примечательно, что несколько похожих уязвимостей было выявлено (http://www.opennet.ru/opennews/art.shtml?num=39685) в апреле, но новая уязвимость имеет свою особенность - она вызвана потерей хранителем экрана контроля над вводом. При манипуляциях (https://bugs.launchpad.net/ubuntu/+source/unity/+bug/1349128...) с индикаторами на экране блокировки входа в систему (достаточно во время ввода пароля кликнуть на индикатор и вернуться в область ввода), хранитель экрана теряет эксклюзивный контроль над вводом и клавиатурный ввод перенаправляется в заблокированное окружение рабочего стола, что позволяет злоумышленнику вслепую выполнить любые действия, в том числе запустить терминал и ввести в нём команды. Проблема также может привести к случайной утечке пароля пользователя. Пользователь может невольно отключить перехват ввода хранителем экрана, тогда вводимый пароль будет перенаправлен в текущее активное приложение рабочего стола. В случае, если до блокировки экрана пользователь работал в браузере, он может случайно ввести пароль в web-форму и отправить её, например, в виде комментария на сайте. Проблема проявляется только в Ubuntu 14.04 и устранена в свежем обновлении пакета unity (7.2.2+14.04.20140714-0ubuntu1.1). После применения обновления требуется перезапустить сеанс рабочего стола. URL: http://www.ubuntu.com/usn/usn-2303-1/ Новость: http://www.opennet.ru/opennews/art.shtml?num=40328