本文來自微信公眾號“量子位”(ID:QbitAI)
Linux系統,居然被兩個不懂任何技術的小孩“攻破”了,
他們只是在鍵盤和螢屏上一通亂按,就輕松繞過密碼,進入了被鎖定的Linux系統桌面,
最近,一位程式員父親就這樣,眼睜睜地看著自己的電腦被孩子“玩壞”,
作為一名程式員,他首先想到的不是打罵孩子,而是——如何復現漏洞,
他發現這個漏洞確實是孩子亂按導致的,在某些特殊按鍵組合下,Linux的螢屏鎖定行程會崩潰,從而繞過了密碼,
也就是說,只要有人知道了這個漏洞,無需密碼就可以偷偷打開別人已經鎖定的Linux電腦,
他將情況反饋到官方GitHub上,最終這個奇怪的漏洞上周被正式修復了,
但這并不能讓程式員們放心,這些年因Linux桌面行程崩潰導致的安全漏洞層出不窮,屢見不鮮,你永遠不知道下一個bug會是什么,
孩子們“亂殺”的桌面系統漏洞
這兩個小孩,是怎么“發現”這一漏洞的呢?
這位程式員父親將自己的電腦鎖定后,孩子們試圖解鎖它,就開始在電腦鍵盤上瞎打,
△大致是這個畫風
突然,屏保界面消失,孩子們成功進入了Linux系統,
什么?連密碼都沒有輸入?
他讓他們再演示一次,這次,孩子們同樣做到了,但依舊只是“亂敲”鍵盤而已,
太奇怪了,
他在兩個小孩離開后,自己又悄悄地試了一下,沒能成功,
不過他認為,這肯定是個漏洞,因為已經親眼見過兩次了,
這位程式員父親所用的桌面系統是Cinnamon(Linux桌面環境之一),他推測,Cinnamon是不是有什么奇怪的bug,在不輸入密碼的情況下也能解鎖桌面,
當天晚上10點半,他在Linux Mint的GitHub頁面上反饋了這一bug,并描述了孩子們敲擊鍵盤的場景:
他們同時按下了物理鍵盤和螢屏虛擬鍵盤,而且,盡量多按一些虛擬鍵盤,
訊息一出,馬上就有網友表示,自己同樣遇到了這種問題,而且用的桌面系統也是Cinnamon,
隨后,Linux Mint程式員火速趕往現場,
檢查后發現,這的確是一個bug,而且Cinnamon 4.2以上的桌面系統,都會受到影響,因為這一版開始支持螢屏虛擬鍵盤了,
導致這個bug的具體行為是:長按“e”鍵,并在虛擬鍵盤上選中“ē”,
現在,Linux Mint已經為這個漏洞推出了一個新補丁,不過需要自己手動安裝,
人生苦短,不如用KDE(手動狗頭),
大神:17年前我就警告過他們
對于如此荒謬而簡單的漏洞,自然引起各路程式員對Linux桌面的吐槽,
關于這個問題的GitHub issue頁面都被程式員們玩壞了,
有人說:這個CVE應該歸功于孩子們…
還有人在回帖中發個表情包:我想程式員們應該會這樣復現bug,
但要論吐槽最狠的,還是著名程式員大神jwz,
今天凌晨,這位大神又雙叒叕發了一篇文章來吐槽此事,標題是《我已經告訴過你們之2021版》,
因為早在17年前,他就警告過Cinnamon和GNOME官方:
如果沒有在Linux上運行XScreenSaver,那么可以你的螢屏就相當于沒有鎖定,
之后每隔幾年,jwz都會出來把這段話再說一遍,
jwz還調侃說:“翻車”一次是偶然,兩次是巧合,三次是敵人的破壞,四次是GNOME官方,
而這四次安全漏洞,jwz都有詳細的記錄:
CVE-2019-3010,從Oracle Solaris螢屏保護程式可以獲得特殊權限升級;
CVE-2014-1949, MDVSA-2015:162:在Cinnamon螢屏保護程式中按選單鍵,再按ESC鍵,就可以進入shell;
按住向下鍵,解鎖Cinnamon螢屏保護程式;
按住回車鍵,解鎖GNOME螢屏保護程式,
修bug引發的新漏洞
導致Linux Mint漏洞是由于3月前修復另一個bug引起的,
這個漏洞存在于Linux顯示服務xorg-x11-server中,其最大威脅是對資料機密性和完整性以及系統可用性的威脅,
更讓人哭笑不得的是,Ubuntu 20.04在向后移植xorg的時候,由于使用了沒有該bug的1.20.9版,反而逃過一劫,
當Ubuntu的開發人員意識到沒有打上CVE-2020-25712補丁后,他們又中了新的漏洞,
結果就是,xorg更新修復以后,任何人都可以讓螢屏鎖定程式崩潰,然后進入桌面,
無獨有偶,這不禁讓人想起GNOME兩個月前的另一個“低級”漏洞,
一位程式員通過將賬戶服務陷入無限回圈,使GNOME的賬戶守護程式崩潰,之后就能在鎖定界面添加新的sudo用戶,并獲取root權限,
這個鍋該讓GNOME來背嗎?jwz認為,歸根結底是因為現在的Linux圖形化界面根基X11存在著不可修復的嚴重問題:
1、鎖定和身份驗證是作業系統級別的問題,
盡管X11是Linux計算機作業系統的核心,但它的設計沒有安全性可言,鎖定程式必須以普通的、非特權的用戶級應用程式一樣運行,
2、X11體系結構的這一錯誤永遠無法修復,
X11太舊、太僵化,并且有太多利益相關者無法對它進行任何有意義的更改,這就是為什么人們不斷嘗試替換X11的原因并失敗了,因為它根深蒂固,
雖然現在有Wayland作為X11的替代品,但仍有網友替換為Wayland后,Ubuntu桌面依然存在某些缺陷,
比如喚醒電腦后,會在原來的桌面停留10~20秒才能進入鎖屏狀態,這個程序中桌面的隱私會一覽無余,
鑒于Linux桌面的安全性問題漏洞百出,為了防止未被發現漏洞遭利用,有用戶建議先安裝XSecureLock,多上一把鎖,
我熱切期待著聽到他們如何解決這個問題,
jwz在自己的博客里如是說,
另外如果你想更好的提升你的編程能力,學好C語言C++編程!彎道超車,快人一步!筆者這里或許可以幫到你~
UP在主頁上傳了一些學習C/C++編程的視頻教程,有興趣或者正在學習的小伙伴一定要去看一看哦!會對你有幫助的~
分享(原始碼、專案實戰視頻、專案筆記,基礎入門教程)
歡迎轉行和學習編程的伙伴,利用更多的資料學習成長比自己琢磨更快哦!
免費學習書籍:
免費學習資料:
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/254729.html
標籤:其他