L'opzione di anteprima in file manager può eseguire malware?

46

Sto usando Nemo File Manager e ho abilitato l'opzione File visualizzabili che mostra i file video / foto con le loro miniature:

Non so esattamente come i gestori di file generino miniature, ma mi chiedo se il processo di generazione può eseguire malware incorporato in un file multimediale?

    
posta dif shluger 13.12.2017 - 09:24
fonte

1 risposta

73

Sì, è possibile che le anteprime eseguano codice dannoso. Le anteprime vengono create controllando il tipo di file e generando una miniatura. Per le immagini, le ridimensiona. Per i video, li decodifica, cerca in loro e crea un'istantanea. Per i file HTML, li rende con qualcosa come WebKit e salva un'istantanea. Sebbene gli anteprime non eseguano intenzionalmente il codice, se uno di questi decodificatori complessi presenta vulnerabilità, possono potenzialmente essere sfruttati.

Questo è un grosso problema con gstreamer , dove una vulnerabilità nel Il decodificatore NSF causa l'esecuzione di codice arbitrario. Un problema simile è stato riscontrato nel suo decodificatore FLIC . I problemi derivavano dal fatto che il decodificatore da utilizzare era scelto in base al contenuto del file, piuttosto che all'estensione del file. Per questo motivo, un file con l'estensione .mp3 potrebbe effettivamente contenere un file NSF. NSF è il formato audio NES ed è implementato come bytecode 6502 (sì, bytecode). I file NSF vengono riprodotti eseguendoli in un emulatore e convertendo l'output in audio riproducibile. Sfortunatamente, gli emulatori sono complessi e questo ha permesso un exploit interamente nel bytecode 6502 per compromettere l'installazione di Ubuntu.

Mentre gstreamer è un caso speciale, il problema fondamentale in cui un programma di anteprima è in grado di analizzare un'ampia varietà di formati semplicemente navigando in una directory è un brutto problema di sicurezza. Anteprime / miniature dovrebbero essere disabilitate se sei preoccupato per questa minaccia.

Un file NSF, chiamato time_bomb.mp3 , che sfrutta le anteprime su un sistema Ubuntu per aprire xcalc :

    
risposta data 13.12.2017 - 09:57
fonte

Leggi altre domande sui tag