В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обойти блокирование экрана

19.01.2015 07:57

Для пользователей Ubuntu 14.04 LTS выпущено обновление пакета gtk+3.0 (3.10.8-0ubuntu1.4), в котором устранена ошибка, которую можно использовать для получения доступа к заблокированному сеансу пользователя без ввода пароля. Проблема продолжает серию выявленных в прошлом году уязвимостей, вызванных некорректной обработкой клавиатурных событий во время блокирования экрана.

На этот раз блокировку можно обойти из-за некорректной обработки нажатия клавиши "меню" в GTK+ - достаточно успеть нажать клавишу "меню" до появления приглашения ввода пароля в gnome-screensaver или cinnamon-screensaver, после чего ввод будет перенаправляться в приложение, окно которого было активно до блокировки экрана. Проблема не специфична для Ubuntu и может проявляться в других системах, использующих gnome-screensaver или cinnamon-screensaver. Для GTK+ исправление было представлено ещё в январе прошлого года и было в августе применено для пакетов Debian и Fedora. В Ubuntu 14.10 поставляется пакет с не подверженной уязвимости версией GTK+.