Библиотека libinput, являющаяся основой управления устройствами ввода в Linux, получила срочное обновление. Была обнаружена уязвимость, позволяющая поддельному периферийному устройству обмануть систему udev. Злоумышленник может выполнить вредоносный код с привилегиями администратора, поставив под угрозу безопасность компьютера без необходимости прямого физического доступа.
Обман udev: как поддельная мышь берет управление 🖱️
Ошибка заключается в том, как libinput обрабатывает события устройств. Мошенническое периферийное устройство может внедрять данные, которые udev интерпретирует как допустимые команды для изменения системных правил. Это позволяет злоумышленнику повысить привилегии и выполнять произвольные команды. Исправление теперь строго проверяет источник каждого события, предотвращая подмену авторизованного оборудования поддельной клавиатурой или мышью.
Твоя клавиатура тебя ненавидит (и теперь может стереть твою систему) ⌨️
Ты всегда подозревал, что у твоей клавиатуры есть своя жизнь, но теперь оказывается, что игрушечная мышь может нанести больше вреда, чем хакер в рясе. Хорошая новость в том, что тебе больше не придется бить молотком по своему периферийному устройству, чтобы чувствовать себя в безопасности. Обнови libinput и перестань бояться офисной мыши. По крайней мере, до следующего патча.