На прошлой неделе разработчики проекта Linux Mint исправили довольно опасную уязвимость, которая позволяла обойти скринсейвер и без ввода пароля выйти на рабочий стол.
Согласно баг-репорту на GitHub, этот неприятный баг был обнаружен двумя детьми, играющими на компьютере своего отца.
«Несколько недель назад дети хотели хакнуть мой компьютер, поэтому нажимали на все клавиши, пока я стоял позади и смотрел, как они играют», — написал пользователь под ником robo2bobo.
Согласно баг-репорту, двое детей нажимали случайные клавиши как на физической, так и на экранной клавиатурах. Это в конечном итоге привело к сбою заставки Linux Mint, что позволило им получить доступ к рабочему столу.
«Я думал, что это уникальный инцидент, но им удалось сделать это во второй раз», — добавил пользователь.
По словам ведущего разработчика Linux Mint Клемента Лефевра, проблему в конечном итоге отследили до libcaribou, компонента экранной клавиатуры (OSK), которая поставляется с Cinnamon, оболочкой для среды рабочего стола в Linux Mint.
Конкретно, ошибка возникает при нажатии клавиши 'ē' на экранной клавиатуре.
В большинстве случаев баг приводит к сбою рабочего стола Cinnamon, но если экранная клавиатура открывается из заставки, то вместо этого происходит сбой заставки, позволяя пользователю получить доступ к основному рабочему столу.
Лефевр сказал, что баг ввели в основную ветку в октябре прошлого года с патчем для другой уязвимости CVE-2020-25712. С тех пор были уязвимы все дистрибутивы Linux Mint, использующие Cinnamon версии 4.2 и более поздних версий.
Патч выпущен 13 января 2021 года. Сейчас разработчики Linux Mint планируют добавить настройку, которая даст возможность пользователю отключать экранную клавиатуру, что облегчит устранение будущих ошибок в этом компоненте.