Уязвимость в gnome-exe-thumbnailer, позволяющая выполнить код при просмотре каталога с MSI-файлом

19.07.2017 19:04

В пакете gnome-exe-thumbnailer, поставляемом в репозиториях Debian и Ubuntu, но официально не входящем в состав GNOME, выявлена уязвимость (CVE-2017-11421), позволяющая выполнить код злоумышленника при просмотре в файловом менеджере каталога, содержащего специально оформленный исполняемый файл Windows в формате MSI. Примечательно, что всего несколько дней назад похожая проблема была исправлена в компоненте evince.thumbnailer.

Уязвимость вызвана ошибкой в коде извлечения версии формата MSI в shell-скрипте gnome-exe-thumbnailer. Для выполнения данной операции на лету создаётся VBScript, анализирующий поля в файле, который затем выполняется через Wine:

   wine cscript.exe //E:vbs //NoLogo Z:\\tmp\\${TEMPFILE1##*/}.vbs 2>/dev/null"

Так как VBScript-скрипт для извлечения версии оформлен в виде шаблона, в который подставляется имя файла (Set DB = WI.OpenDatabase(\"$INPUTFILE\",0)), то указав в имени файла символ кавычки можно подставить дополнительный код в формируемый VBScript. Например, при разборе файла с именем

   poc.msi\",0):Set fso=CreateObject(\"Scripting.FileSystemObject\"):Set poc=fso.CreateTextFile(\"badtaste.txt\")'.msi

в шаблоне появится конструкция, создающая файл badtaste.txt:

   Set DB = WI.OpenDatabase(\"poc.msi\",0):Set fso=CreateObject(\"Scripting.FileSystemObject\"):Set poc=fso.CreateTextFile(\"badtaste.txt\")',0)

Для эксплуатации уязвимости достаточно организовать вызов обработчика gnome-exe-thumbnailer для подготовленного злоумышленником файла. В частности, gnome-exe-thumbnailer будет запущен для создания миниатюр для файлов MSI при открытии каталога с ними в файловом менеджере, например, для атаки достаточно вставить USB-накопитель с вредоносным файлом. Другим вектором атаки является web-браузер: при открытии специально оформленной страницы можно инициировать вызов построителя миниатюр в Chrome и Epiphany, не требуя от пользователя каких-либо действий.

Уязвимость устранена в выпуске gnome-exe-thumbnailer 0.9.5. В качестве обходного пути защиты можно отключить gnome-exe-thumbnailer, удалив файл /usr/share/thumbnailers/gnome-exe-thumbnailer. Проследить появление пакетов с исправлениями можно на данных страницах: Debian, Ubuntu, ~~FreeBSD, SUSE, openSUSE, RHEL, Fedora~~. Дополнение: Fedora, FreeBSD, а также дистрибутивы Red Hat и SUSE проблеме не подвержены, так как не поставляют пакет gnome-exe-thumbnailer в репозиториях.

исправить +12 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/46885-gnome

Ключевые слова: gnome, thumbnailer

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (43)

1.1, Аноним (-), 19:13, 19/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+27 +/–
>выполнения данной операции из shell-скрипта осуществляется запуск "wine cscript.exe вау, что тут могло пойти так?

2.12, Anonim (??), 20:35, 19/07/2017 [^] [^^] [^^^] [ответить]	+1 +/–
> вау, что тут могло пойти так? Оговорка по Фрейду?

3.15, унекс (?), 21:27, 19/07/2017 [^] [^^] [^^^] [ответить]	+2 +/–
нет, шутка по Петросяну.

1.2, Аноним (-), 19:24, 19/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
2003-й год, Windows 98 SE, Dr.Web, флешка на 128 Мб. Я записал на неё кучу прог, чтобы переустанавливать систему. Когда система была установлена, значки прог медленно появлялись слева направо: антивирусный сканер работал. Когда система устанавливалась с нуля, значки появлялись за долю секунды. Я ещё не мог понять: почему антивирус проверяет ЗНАЧКИ?! А потом выяснилось: после похода в гости, значки, как всегда неспешно появлялись, и тут бац - обнаружен вирус!

2.3, анончик (?), 19:35, 19/07/2017 [^] [^^] [^^^] [ответить]	+5 +/–
Проверялся exe целиком, а значок внутри, в ресурсах.

2.4, Аноним (-), 19:36, 19/07/2017 [^] [^^] [^^^] [ответить]	+2 +/–
В 2003-м? Спасибо, хорошая сказочка на ночь. Поржал :)

3.5, iPony (?), 19:58, 19/07/2017 [^] [^^] [^^^] [ответить]	–2 +/–
А чего смешного?

4.11, Tffh (?), 20:27, 19/07/2017 [^] [^^] [^^^] [ответить]	+7 +/–
Он еще не родился тогда

5.46, Аноним (-), 13:15, 21/07/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Это ты не родился тогда, и в твоих глазах я понтуюсь, типа олдфаг.

4.23, Аноним84701 (ok), 00:17, 20/07/2017 [^] [^^] [^^^] [ответить]

+5 +/–

> А чего смешного?

Флешка на 128MB cтоила тогда (вроде бы, я даже загуглил) где-то 40-60$.
Переустановка с нее системы - ну, если мне не изменяет память, то бут с usb тогда далеко не каждая железка поддерживала, о винде лучше вообще скромно промолчим.

Но ладно, предположим, как-то переустановил 98ю винду, воткнул флешку и ... ничего - поддержки "USB Mass Storage Devices" в win98 еще не было.
Нужны были дрова - втыкай дискету, расчехляй модем и/или *ердолься с настройками доступа в интернет. Это все, для того чтобы можно было читать флешку :)
По этой же причине особо с собою по знакомым не потаскаешь.

Т.е. практичнее было бы за те же деньги взять привод СDRW и записать два диска - с виндой (лучше - побитовой копией, тогда вся переустановка сводилась к копированию образа) и для программ.
А так да, почти все верно :)

5.26, soarin (ok), 04:19, 20/07/2017 [^] [^^] [^^^] [ответить]	–1 +/–
> флешка на 128 Мб. Я записал на неё кучу прог, чтобы переустанавливать систему. Кэп поясняет, что скорее всего была переустановка WIndows 98 на что-то более новое. Про цену тоже смешно. Хоть и не дешево, но можно было позволить. У меня тоже была в 128 МБ первая флешка. Но брал я её чуть-чуть позже.

6.42, Аноним84701 (ok), 13:21, 20/07/2017 [^] [^^] [^^^] [ответить]

+1 +/–

>> флешка на 128 Мб. Я записал на неё кучу прог, чтобы переустанавливать систему.
> Кэп поясняет, что скорее всего была переустановка WIndows 98 на что-то более

Кэпу поясняю, что в таком случае формулировка
> чтобы переустанавливать систему ... Когда система была установлена ... Когда система устанавливалась с нуля

сильно вводит в заблуждение.

> Про цену тоже смешно. Хоть и не дешево, но можно было позволить.
> У меня тоже была в 128 МБ первая флешка. Но брал я её чуть-чуть позже.

Это все к тому, что стоили флешки далеко не привычные копейки, а вот работали далеко не везде.
А так да, я наверное просто завидую -- у меня в 128 МБ был первый мп3 плеер (и брал я его как раз в конце 2003) :(

6.44, Аноним (-), 20:59, 20/07/2017 [^] [^^] [^^^] [ответить]

+1 +/–

Драйверы же. Софт. Эйсидиси, винамп. Офис с фотошопом - с дисков, винда - тоже. Остальное - с флешки.

Нет, не обновление до ME или XP. Переустановка. Это же Win9x!

Драйвер флешки устанавливался с CD диаметром 8 см.

5.49, холиварменеджер (?), 18:54, 25/07/2017 [^] [^^] [^^^] [ответить]

+/–

В 2003 году флешки были на самом деле не дешёвым удовольствием, но и не роскошью.

В комплекте с ними всегда шёл маленький такой диск, с дарйверами (CD в те времена не был редкостью). Специально для тех, у кого был вин-9х. И на этом же диске вместе с дровищами можно было без проблем доустановить поддержку "USB Mass Storage Devices" даже в 95-ю винду. И не нужно было едролиться (кстати, спасибо за новое прикольное слово;) ) с настройками.

И кстати, в те суровые времена, заботливые продавцы к компу прилагали ещё и набор драйверов. или скидывали на винт, или вкидывали просто вместе с компом давали те диски что шли в комплекте с железом. а если их не было, можно было спокойно к ним подъехать и попросить что бы скачали тебе их на что попросишь. но часто просто давали диски.

Загрузка с флешки, в 2003 году уже поддерживалась, но для этого в старых ящиках нужно было перепрошивать биос, что тоже не было особой проблемой. и спокойно с них запускали дос. это было надёжнее дискет, и CD.

Но если ящик был на столько старым, что в нём не было USB. то и для таких динозавров были ISA'шные доски.

6.50, Аноним84701 (ok), 20:02, 25/07/2017 [^] [^^] [^^^] [ответить]

+/–

> Специально для тех, у кого был вин-9х. И на этом же диске вместе с дровищами можно
> было без проблем доустановить поддержку "USB Mass Storage Devices" даже в
> 95-ю винду.

Ага, мелкие диски максимум на ~200МБ, обычно в конвертиках. Брал когда-то даже целую пачку RW. Теряются еще легче своих больших собратьев. Принципиальной разницы между "воткнул дискету" опять же, не вижу - кроме того, что 9.x могла и не распозновать некоторые приводы и в свежеустановленную винду нужно было сперва втыкать дискету с дровами привода.
Как раз из-за этого и носить "по знакомым" флешку с данными и диск с дровами к этой флешке являлось удовольствием весьма сомнительным. Про "дом-работа-дом" не спорю, но это уже немного другой разговор.

>> бут с usb тогда далеко не каждая железка поддерживала
> Загрузка с флешки, в 2003 году уже поддерживалась, но для этого в старых ящиках нужно было перепрошивать биос,
> то тоже не было особой проблемой

Даже не знаю что сказать. "поддерживалась, но нужно было перепрошивать".
Переустановкой ОС ведь занимались отнюдь не для удовольствия или профилактики, а когда обычно толком уже ничего не работало.
В таких условиях (для других, более юных посетитетелей опеннета: смартфонов еще нема, даже мобильники есть далеко не у всех, да и сам выход по мобильнику в тырьнет "золотой", второго-третьего компутера нема, лэптопы все еще идут как роскошь) сперва искать и качать обновление, а потом перепрошивать (для чего, вполне возможно, дополнителтьно нужно было переключить джампер -- соответсвенно вначале найти руководство по эксплуатации материнки), трогая "то, что работает" и рискуя превратить железку в тыкву ... это да, это "почти без проблем" :)

1.6, Аноним (-), 20:02, 19/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+15 +/–
Эммм, шта? О_о Вместо разбора файла (структура которого вполне открыта) запускается wine и какой-то генерируемый на лету VBScript-файл? И такой костыль используется по умолчанию в каких-то дистрибутивах? Дожились.

2.7, iPony (?), 20:06, 19/07/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Ну вайн по определению костыль. И по умолчанию в серьезных дистрибутивах не используется. Но ошибка прям детская конечно.

1.8, Аноним (-), 20:18, 19/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Дети с Wine эмулятором проиграли.

1.14, Аноним (-), 21:10, 19/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+10 +/–
Гонять wine чтобы извлечь картинку. Отлично, просто.

2.28, Анином (?), 05:26, 20/07/2017 [^] [^^] [^^^] [ответить]	+4 +/–
Гном такой гном

3.36, Аноним (-), 08:56, 20/07/2017 [^] [^^] [^^^] [ответить]	+2 +/–
>но официально не входящем в состав GNOME

2.29, Аноним (-), 05:50, 20/07/2017 [^] [^^] [^^^] [ответить]	+/–
Это же unix-way. Wine работает с виндовыми бинарниками и ресурсами, и что бы достать картинку из них, запускают вайн, логично, не? Другой вопрос, что нафиг не нужно лазить в виндовый крап из линукс. В ж-пу эти значки, кто додумался вообще.

3.38, Аноним (-), 09:27, 20/07/2017 [^] [^^] [^^^] [ответить]	+4 +/–
> логично, не? Нет. Есть специальные утилиты для извлечения ресурсов. Тянут весь вайн просто глупо.

1.18, Аноним (-), 22:54, 19/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
И сколько ещё ждёт нас открытий чудных.

1.19, Аноним (-), 23:11, 19/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
Нужен systemd-thumbnailer.

2.24, vitalif (ok), 00:21, 20/07/2017 [^] [^^] [^^^] [ответить]	+3 +/–
systemd-thumbnailerd

3.30, Аноним (-), 05:53, 20/07/2017 [^] [^^] [^^^] [ответить]	+1 +/–
> systemd-thumbnailerd Убери 'systemd-', и получится годная вещь. Автономный демон, которые собирает значки, без запуска всяких вайнов с vbscript. Если уж нужны эти треклятые значки.

4.41, Аноним (-), 12:41, 20/07/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Package: tumbler Description-en: D-Bus thumbnailing service Tumbler is a D-Bus service for applications to request thumbnails for various URI schemes and MIME types. It is an implementation of the thumbnail management D-Bus specification described on http://live.gnome.org/ThumbnailerSpec. Почти то что нужно.

3.37, Аноним (-), 09:16, 20/07/2017 [^] [^^] [^^^] [ответить]	+2 +/–
systemd-safe-wine-commandline-executord

1.20, Аноним (-), 23:27, 19/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
$ apt-cache rdepends gnome-exe-thumbnailer gnome-exe-thumbnailer Reverse Depends: $ Ни по умолчанию, ни по каким бы то ни было зависимостям не ставится. Что и логично, какой майнтейнер в здравом уме будет такое тянуть. Непонятно, как оно вообще в репе оказалось.

2.21, angra (ok), 23:55, 19/07/2017 [^] [^^] [^^^] [ответить]

+/–

The Debian Package gnome-exe-thumbnailer
----------------------------

This package was made based on an idea first seen in Ubuntu Brainstorm. It was
then written as part of the Karmic-Wine-Integration spec for Ubuntu:
https://wiki.ubuntu.com/karmic-wine-integration

It is my hope that this can be merged upstream and become a part of a default
Gnome desktop, as I feel it adds a lot of usability even when you don't have
Wine installed.

-- Scott Ritchie <scottritchie@ubuntu.com> Tue, 18 Aug 2009 02:33:41 -0700

В debian появился начиная с stretch. Не знаю, ставится ли он там по умолчанию. Скорее всего ставится в ubuntu.

3.27, soarin (ok), 04:42, 20/07/2017 [^] [^^] [^^^] [ответить]	–1 +/–
> по умолчанию. Скорее всего ставится в ubuntu. В чистой ubuntu 16.04 c Unity не наблюдается

1.22, anomymous (?), 00:04, 20/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
gnome exe msi Я что-то пропустил?

2.45, Аноним (-), 21:55, 20/07/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Году в 2007-м ещё видел совет в чьём-то блоге. Что прописать в GConf, чтобы в файловом менеджере GNOME отображались виндовые значки.

1.25, vitalif (ok), 00:22, 20/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> wine cscript.exe //E:vbs //NoLogo Z:\\tmp\\${TEMPFILE1##*/}.vbs 2>/dev/null" жесть какая

2.31, Аноним (-), 05:55, 20/07/2017 [^] [^^] [^^^] [ответить]	–4 +/–
>> wine cscript.exe //E:vbs //NoLogo Z:\\tmp\\${TEMPFILE1##*/}.vbs 2>/dev/null" > жесть какая а чего жесть? Все можно сделать на скриптах и однострочниках - вот же принцип CLI и Линукс. Или ты предложил бы велосипед для получения ресурсов из exe и msi, вместо wine ?

3.32, iPony (?), 06:15, 20/07/2017 [^] [^^] [^^^] [ответить]	+/–
Есть же icoutils https://launchpad.net/ubuntu/xenial/+package/icoutils

4.33, iPony (?), 06:25, 20/07/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Хотя с ним тоже весело. На больших файлах значительно притормаживает создание превьюшки https://bugs.launchpad.net/ubuntu/+source/icoutils/+bug/614918

3.40, Аноним (-), 09:55, 20/07/2017 [^] [^^] [^^^] [ответить]	+/–
А через WINE парсить не велосипед?

4.43, uname a (?), 15:58, 20/07/2017 [^] [^^] [^^^] [ответить]	+1 +/–
нет. через wine парсить - костыль

1.39, Hellraiser (??), 09:33, 20/07/2017 [ответить] [﹢﹢﹢] [ · · · ]

–1 +/–

>Уязвимость устранена в выпуске gnome-exe-thumbnailer 0.9.5.

шо, неужели исправили vbscript? ну тогда да - уязвимости точно хана

>В качестве обходного пути защиты можно отключить gnome-exe-thumbnailer, удалив файл /usr/share/thumbnailers/gnome-exe-thumbnailer.

хе-хе, и почему это решение названо "обходным путём защиты"? лучше может быть только - не устанавливать это чудо вообще

1.47, Аноним (-), 16:08, 21/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Гы-хы-хы. А если у кого-то когда-нибудь руки дотянутся поизучать D-Bus... Вот где веселья целый ворох

1.48, Аноним (-), 21:57, 21/07/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Для выполнения данной операции на лету создаётся VBScript, анализирующий поля в файле, который затем выполняется через Wine они там здоровы вообще?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: