Gnome File Manager中的关键代码注入漏洞使Linux用户容易受到黑客攻击

侏儒文件允许黑客在目标Linux机器上执行恶意代码的文件管理器。

配音品味差，该漏洞（CVE-2017-11421）是由德国研究人员尼尔斯·达格森·莫斯科普发现的，他还在自己的博客上发布了概念验证代码来演示该漏洞。

代码注入漏洞存在于“gnome exe拇指钉”— 这是一个从GNOME的Windows可执行文件（.exe/.msi/.dll/.lnk）生成缩略图的工具，需要用户在系统上安装Wine应用程序才能打开它。
Wine是一款免费的开源软件，允许Windows应用程序在Linux操作系统上运行。

Moskopp在导航到包含。msi文件，GNOME文件将文件名作为可执行输入，并运行它以创建图像缩略图。

为了成功利用该漏洞，攻击者可以发送一个精心编制的Windows installer（MSI）文件，其文件名中包含恶意VBScript代码，如果在易受攻击的系统上下载，将危及机器，而无需进一步的用户交互。

Moskopp在演示PoC时解释说：“这段代码不是解析MSI文件以获取其版本号，而是创建一个包含文件名的脚本，该文件名应显示缩略图，并使用Wine执行该脚本”。

脚本是使用模板构造的，这样就可以将VBScript嵌入文件名并触发其执行

潜在的黑客也可以使用其他攻击向量来利用该漏洞，例如，直接插入存储有恶意文件的USB驱动器，或通过驱动器下载交付恶意文件。

如何保护自己不受不良品味的影响

Moskopp报告了GNOME项目和Debian项目的漏洞。他们都修补了gnome exe thumbnailer文件中的漏洞。

该漏洞影响0.9.5版本之前的gnome exe thumbnailer。因此，如果您使用GNOME桌面运行Linux操作系统，请在受到此严重漏洞影响之前立即检查更新。

同时，Moskopp还建议用户：

• 删除/usr/share/thumbnailers中的所有文件。
• 不要使用GNOME文件。
• 卸载任何有助于以代码形式自动执行文件名的软件。

Moskopp还建议开发人员不要使用“错误缠身的特殊解析器”来解析文件，“在处理输入之前完全识别输入”，并使用解析器，而不是模板。