A biblioteca libinput, pilar no gerenciamento de dispositivos de entrada no Linux, recebeu uma atualização urgente. Foi detectada uma vulnerabilidade que permite que um periférico manipulado engane o sistema udev. O atacante pode executar código malicioso com privilégios de administrador, comprometendo a segurança do equipamento sem necessidade de acesso físico direto.
O engano ao udev: como um mouse falso assume o controle 🖱️
A falha reside em como o libinput processa eventos de dispositivos. Um periférico fraudulento pode injetar dados que o udev interpreta como comandos válidos para modificar regras do sistema. Isso permite que o atacante escale privilégios e execute comandos arbitrários. A correção agora valida de forma estrita a origem de cada evento, impedindo que um teclado ou mouse falso se passe por outro hardware autorizado.
Seu teclado te odeia (e agora pode apagar seu sistema) ⌨️
Você sempre suspeitou que seu teclado tinha vida própria, mas agora descobre que um mouse de brinquedo pode causar mais dano que um hacker de batina. A boa notícia é que você não precisará mais bater com um martelo no seu periférico para se sentir seguro. Atualize o libinput e pare de temer o mouse do escritório. Pelo menos até o próximo patch.