Дети нашли уязвимость в экране блокировки Linux Mint, случайно нажимая клавиши

575a383b05d9575d5d859acd52adf39e.jpg

На прошлой неделе разработчики проекта Linux Mint исправили довольно опасную уязвимость, которая позволяла обойти скринсейвер и без ввода пароля выйти на рабочий стол.

Согласно баг-репорту на GitHub, этот неприятный баг был обнаружен двумя детьми, играющими на компьютере своего отца.
«Несколько недель назад дети хотели хакнуть мой компьютер, поэтому нажимали на все клавиши, пока я стоял позади и смотрел, как они играют», — написал пользователь под ником robo2bobo.

Согласно баг-репорту, двое детей нажимали случайные клавиши как на физической, так и на экранной клавиатурах. Это в конечном итоге привело к сбою заставки Linux Mint, что позволило им получить доступ к рабочему столу.

q356mb0s2nek_ihbklsjt48xgu0.png

«Я думал, что это уникальный инцидент, но им удалось сделать это во второй раз», — добавил пользователь.

По словам ведущего разработчика Linux Mint Клемента Лефевра, проблему в конечном итоге отследили до libcaribou, компонента экранной клавиатуры (OSK), которая поставляется с Cinnamon, оболочкой для среды рабочего стола в Linux Mint.

Конкретно, ошибка возникает при нажатии клавиши 'ē' на экранной клавиатуре.

В большинстве случаев баг приводит к сбою рабочего стола Cinnamon, но если экранная клавиатура открывается из заставки, то вместо этого происходит сбой заставки, позволяя пользователю получить доступ к основному рабочему столу.

Лефевр сказал, что баг ввели в основную ветку в октябре прошлого года с патчем для другой уязвимости CVE-2020–25712. С тех пор были уязвимы все дистрибутивы Linux Mint, использующие Cinnamon версии 4.2 и более поздних версий.

Патч выпущен 13 января 2021 года. Сейчас разработчики Linux Mint планируют добавить настройку, которая даст возможность пользователю отключать экранную клавиатуру, что облегчит устранение будущих ошибок в этом компоненте.

© Habrahabr.ru