Ubuntu爆遠端程式攻擊漏洞

安全研究人員Donncha O'Cearbhaill本周揭露了Ubuntu平台上一個允許遠端程式攻擊的安全漏洞，該漏洞存在於Ubuntu內的當機報告機制Apport中，影響Ubuntu桌面版12.10 （Quantal）及以後的版本，該漏洞上周已被修補。

O'Cearbhaill說明，Apport通常會讀取當機檔案中的子集，以提出一個可提醒使用者提交當機報告的圖形使用者介面，此一CrashDB欄位會在使用者同意提交當機報告時才進行解析與執行，但當中存在的臭蟲使得即使缺乏使用者互動也會被解析及執行。

該漏洞編號為CVE-2016-9949，可將python程式碼注入當機文件中，意味著可嵌入任何的python執行程式。CVE-2016-9949非常容易開採，駭客只要引誘使用者開啟一個惡意的apport .crash文件即可，且O'Cearbhaill已打造出攻擊程式並透過GitHub公開。

O'Cearbhaill還發現了另一個編號為CVE-2016-9950的造訪路徑（Path Traversal）漏洞。提供相關漏洞的細節予Canonical替O'Cearbhaill贏得了1萬美元的獎金。

O'Cearbhaill認為，抓漏獎勵對研究人員來說是個很好的鼓勵，此一措施只會讓軟體愈來愈安全，讓漏洞愈來愈難被發現，有營利的業者不應期待安全研究人員免費奉上研究成果。