В своем блоге Бхарат Йоги, директор по исследованию уязвимостей и угроз в Qualys, сказал, что команда обнаружила недостатки в функции snap-confine в операционных системах Linux. Около 40 миллионов пользователей находятся в опасности.

Йоги описывает Snap как «систему упаковки и развертывания программного обеспечения», созданную Canonical для операционных систем на ядре Linux. Эти пакеты, или «привязки», а также инструмент, который их использует, «snapd», работают с широким спектром дистрибутивов Linux, позволяя разработчикам отправлять приложения непосредственно пользователям.

Snaps, как объясняет Йоги — это автономные приложения, работающие в песочнице с опосредованным доступом к хост-системе. Snap-confine программа, используемая внутри snapd для создания среды выполнения для приложений Snap.

Злоупотребляя уязвимостью, отслеживаемой как CVE-2021-44731, злоумышленник может повысить привилегии базовой учетной записи вплоть до root-доступа. Исследователи из Qualys утверждают, что независимо проверили уязвимость, разработали эксплойт и получили полные привилегии суперпользователя при установке Ubuntu по умолчанию. 

Как обычно, к тому времени, когда новость попадает в прессу, патч уже был выпущен, поэтому пользователям Ubuntu рекомендуется немедленно установить последнюю версию. Клиенты Qualys могут выполнять поиск CVE-2021-44731 в базе знаний по уязвимостям, чтобы идентифицировать все QID и уязвимые активы, сообщает компания.

«В эпоху Log4Shell, SolarWinds, MSFT Exchange — жизненно важно ответственно сообщать об уязвимостях, а также немедленно исправлять и устранять их», — предупреждает исследовательская группа.

Canonical потихоньку работает над обновлением прошивки с графическим интерфейсом для обработки обновления в Ubuntu Linux. К счастью, это не совсем новое изобретение колеса, а, по сути, графический интерфейс от фреймворка Flutter для замечательной утилиты FWUPD для загрузки обновлений от Linux.

Да, уже есть прошивка GNOME (gnome-firmware) в качестве графического интерфейса для FWUPD вместе с некоторой поддержкой в ​​Центре программного обеспечения GNOME, в то время как использование Flutter / Dart будет удовлетворять собственной потребности Ubuntu в обновлении и хорошо интегрируется в их рабочий стол. Точно так же, предположительно, будет распространяться в форме Snap.