Linuxの入力デバイス管理の要であるlibinputライブラリに緊急アップデートが実施されました。細工された周辺機器がudevシステムを欺くことを可能にする脆弱性が検出されました。攻撃者は管理者権限で悪意のあるコードを実行でき、直接的な物理アクセスを必要とせずにシステムのセキュリティを危険にさらします。
udevへの欺瞞:偽マウスがどのように制御を掌握するか 🖱️
この欠陥は、libinputがデバイスイベントを処理する方法にあります。不正な周辺機器は、udevがシステムルールを変更するための有効なコマンドとして解釈するデータを注入する可能性があります。これにより、攻撃者は権限を昇格させ、任意のコマンドを実行できます。修正により、各イベントの発信元が厳密に検証されるようになり、偽のキーボードやマウスが他の認証されたハードウェアになりすますことを防ぎます。
あなたのキーボードはあなたを憎んでいます(そして今やシステムを消去できるかもしれません) ⌨️
あなたのキーボードに自我があると常に疑っていましたが、今やおもちゃのマウスが法衣を着たハッカーよりも大きな被害をもたらす可能性があることが判明しました。良い知らせは、安全を感じるために周辺機器をハンマーで叩く必要がもうないということです。libinputを更新して、オフィスのマウスを恐れるのをやめましょう。少なくとも次のパッチまでは。