В Ubuntu и CentOS отключена функция безопасности среды GNOME
Команда Ubuntu решила отключить Bubblewrap из-за нехватки времени и ресурсов для доработки функции.
В актуальных версиях Ubuntu и CentOS прекращена поддержка функции безопасности Bubblewrap, которая была добавлена в среду рабочего стола GNOME в прошлом году. Функция под названием Bubblewrap представляет собой среду песочницы, добавленную в GNOME Project для защиты парсеров миниатюр в июле 2017 года, с выпуском GNOME 3.26.
Парсерами миниатюр являются скрипты, которые читают файлы внутри каталога и создают миниатюрные изображения, использующиеся в GNOME, KDE и других рабочих средах Linux. Данная операция выполняется каждый раз, когда пользователь переходит к папкам и ОС необходимо отображать миниатюры для файлов, содержащихся внутри.
В последние годы исследователи безопасности доказали, что парсеры миниатюр могут рассматриваться в качестве одного из потенциальных векторов атаки. В частности, хакеры могут обманом заставить пользователя загрузить вредоносный файл на рабочий стол, после чего он будет выполнен парсером. В качестве ответной меры команда GNOME добавила Bubblewrap-песочницы для всех сценариев парсера.
Однако, по словам немецкого исследователя безопасности и журналиста Ханно Бекка (Hanno Boeck), операционная система Ubuntu прекращает поддержку Bubblewrap во всех последних версиях ОС.
Помимо этого, исследователь безопасности из Google Тавис Орманди (Tavis Ormandy) сообщил об отсутствии данной функции в стандартной версии CentOS 7.x.
По словам экспертов, команда Ubuntu решила отключить Bubblewrap из-за нехватки времени и ресурсов для доработки функции, однако ее возвращение в будущем не исключено.
«Bubblewrap — относительно новое программное обеспечение, которое выполняет ряд сложных задач для создания песочниц. Если мы просто слепо добавим его в Ubuntu, а затем обнаружим уязвимость, которую можно было бы найти заранее путем проверки кода, то поступим неосмотрительно по отношению к пользователям», — отметил один из разработчиков Алекс Мюррей (Alex Murray) изданию Bleeping Computer.