مكتبة libinput، الركيزة الأساسية في إدارة أجهزة الإدخال في لينكس، تلقت تحديثًا عاجلاً. تم اكتشاف ثغرة أمنية تسمح لجهاز طرفي مُعدّل بخداع نظام udev. يمكن للمهاجم تنفيذ تعليمات برمجية ضارة بصلاحيات المدير، مما يعرض أمان الجهاز للخطر دون الحاجة إلى وصول مادي مباشر.
خداع udev: كيف يسيطر فأر مزيف على النظام 🖱️
يكمن الخلل في كيفية معالجة libinput لأحداث الأجهزة. يمكن لجهاز طرفي مزور حقن بيانات يفسرها udev كأوامر صالحة لتعديل قواعد النظام. وهذا يسمح للمهاجم بتصعيد الصلاحيات وتنفيذ أوامر عشوائية. يقوم التصحيح الآن بالتحقق بدقة من مصدر كل حدث، مما يمنع لوحة مفاتيح أو فأرًا مزيفًا من انتحال هوية جهاز آخر مصرح به.
لوحة مفاتيحك تكرهك (والآن يمكنها مسح نظامك) ⌨️
لطالما شككت في أن لوحة المفاتيح لديك لها حياة خاصة بها، ولكن الآن اتضح أن فأرًا لعبة يمكنه إحداث ضرر أكبر من هاكر يرتدي ثوبًا. الخبر السار هو أنك لم تعد مضطرًا لضرب أجهزتك الطرفية بمطرقة لتشعر بالأمان. قم بتحديث libinput وتوقف عن الخوف من فأر المكتب. على الأقل حتى التصحيح التالي.