लिबइनपुट ने उस खराबी को ठीक किया जो नकली उपकरणों को रूट अधिकार देती थी

libinput लाइब्रेरी, लिनक्स में इनपुट डिवाइस प्रबंधन की आधारशिला, को एक तत्काल अपडेट प्राप्त हुआ है। एक कमजोरी का पता चला है जो एक छेड़छाड़ किए गए पेरिफेरल को udev सिस्टम को धोखा देने की अनुमति देती है। हमलावर प्रशासक विशेषाधिकारों के साथ दुर्भावनापूर्ण कोड निष्पादित कर सकता है, जिससे सीधे भौतिक पहुंच के बिना कंप्यूटर की सुरक्षा से समझौता हो जाता है।

Linux input device vulnerability exploit scene, fake USB peripheral being plugged into computer port, malicious code injection process visualized as glowing red data streams flowing from device to motherboard, udev system being bypassed with root access granted icon, libinput library error highlighted with broken security chain symbol, cinematic technical illustration style, dark cyberpunk laboratory setting, holographic kernel error messages floating in air, circuit board traces glowing orange under attack, metallic USB connector with tampered chip visible, dramatic side lighting, photorealistic engineering visualization, ultra-detailed hardware components

udev को धोखा: कैसे एक नकली माउस नियंत्रण ले लेता है 🖱️

यह दोष इस बात में निहित है कि libinput डिवाइस इवेंट को कैसे प्रोसेस करता है। एक धोखाधड़ी वाला पेरिफेरल ऐसा डेटा इंजेक्ट कर सकता है जिसे udev सिस्टम नियमों को संशोधित करने के लिए वैध आदेशों के रूप में व्याख्या करता है। यह हमलावर को विशेषाधिकार बढ़ाने और मनमाने कमांड निष्पादित करने की अनुमति देता है। अब सुधार प्रत्येक इवेंट के स्रोत को सख्ती से मान्य करता है, एक नकली कीबोर्ड या माउस को किसी अन्य अधिकृत हार्डवेयर का रूप धारण करने से रोकता है।

आपका कीबोर्ड आपसे नफरत करता है (और अब यह आपके सिस्टम को मिटा सकता है) ⌨️

आपको हमेशा संदेह था कि आपके कीबोर्ड का अपना जीवन है, लेकिन अब पता चला है कि एक खिलौना माउस एक लबादा पहने हैकर से अधिक नुकसान कर सकता है। अच्छी खबर यह है कि सुरक्षित महसूस करने के लिए अब आपको अपने पेरिफेरल को हथौड़े से मारने की ज़रूरत नहीं होगी। libinput अपडेट करें और ऑफिस के माउस से डरना बंद करें। कम से कम अगले पैच तक तो।