libinput库作为Linux输入设备管理的基石,已收到紧急更新。发现了一个漏洞,允许被篡改的外设欺骗udev系统。攻击者可以以管理员权限执行恶意代码,无需直接物理接触即可危及设备安全。
欺骗udev:假鼠标如何夺取控制权 🖱️
漏洞存在于libinput处理设备事件的方式中。一个欺诈性外设可以注入数据,使udev将其解释为修改系统规则的有效指令。这允许攻击者提升权限并执行任意命令。此次修复现在严格验证每个事件的来源,防止假键盘或鼠标冒充其他授权硬件。
你的键盘恨你(现在它还能删除你的系统)⌨️
你一直怀疑你的键盘有自己的想法,但现在发现一个玩具鼠标造成的伤害可能比穿长袍的黑客还大。好消息是,你不再需要用锤子敲打外设来获得安全感。更新libinput,别再害怕办公室的鼠标了。至少在下一次补丁之前是这样。