Ubuntu’s Gnome desktop could be tricked into giving root access

แจ้งเตือนช่องโหว่ใน GNOME ใช้สร้างบัญชีใหม่ให้ได้สิทธิ์และรันคำสั่งเป็น root ได้

นักวิจัยด้านความปลอดภัยจาก GitHub "Kevin Backhouse" เป็นเผย 2 ช่องโหว่ใหม่ใน GNOME Display Manager (GDM) ซึ่งทำให้บัญชีผู้ใช้งานที่มีสิทธิ์ทั่วไปนั้นสามารถสร้างบัญชีใหม่และยกระดับสิทธิ์ขึ้นมาได้ ผลลัพธ์ของการโจมตีทำให้ผู้โจมตีสามารถรันคำสั่งด้วยสิทธิ์ root ได้ ช่องโหว่เหล่านี้ยังมีวิธีการโจมตีที่ไม่ยากด้วย

ทั้งสองช่องโหว่นี้ได้แก่ CVE-2020-16126 ซึ่งทำให้เกิดการบัญชีสิทธิ์สามารถแครชโปรเซสของ GDM ให้เกิด segmentation fault ได้และ CVE-2020-16127 ซึ่งทำให้ผู้โจมตีสามารถยกระดับสิทธิ์ได้ โดยช่องโหว่ CVE-2020-16127 นั้นสามารถโจมตีได้โดยการแก้ไขการตั้งค่าในส่วน System Settings ซึ่งไม่จำเป็นต้องมีสิทธิ์สูงในการตั้งค่าแต่อย่างใด

ระบบที่ได้รับผลกระทบจากสองช่องโหว่นี้ได้แก่ Ubuntu 20.10, Ubuntu 20.04, Ubuntu 18.04, และ Ubuntu 16.04 ผู้ที่สนใจสามารถดูรายละเอียดช่องโหว่เพิ่มเติมได้ที่ : securitylab

ที่มา: bleepingcomputer

Read more