Использование утилиты less для просмотра загруженного из сети контента может привести к выполнению удалённого кода. Об этом сообщил в списках рассылки инженер безопасности Google Мишал Залевски (Michal Zalewski).
Казалось бы, такой простой инструмент как less, который только выводит содержимое файла в терминал и осуществляет по нему навигацию, безопасен. Изначально он рассчитан на использование текстовых файлов, однако в Ubuntu и CentOS поддерживается больше форматов, в том числе архивы, изображения и PDF. Это возможно благодаря использованию скрипта под названием lesspipe — он задействует различные сторонние инструменты для расширения списка поддерживаемых форматов. Эти инструменты, по словам Мишала Залевски, создавались без учёта возможности ввода вредоносного кода.
Когда Залевски запустил программу для fuzzing-теста (инструмент проверки на уязвимость, который подставляет вредоносный ввод для приложений), направленную против архиватора cpio, используемого в lesspipe, он быстро выявил ошибку памяти, которая может привести к выполнению произвольного кода. «Хотя это единственная ошибка в cpio, я не сомневаюсь, что в других утилитах lesspipe есть такие же, если не хуже», — говорит инженер.
По мнению самого Мишала Залевски, проблема не относится к критическим, т.к. немногие пользователи будут открывать экзотические форматы скачанных файлов в less. Тем не менее, ситуация создаёт потенциальную угрозу, а из-за того, что многие инструменты имеют длинную историю и написаны давно, их разработчики могут не отреагировать достаточно быстро. Чтобы избежать проблемы здесь и сейчас, Залевски рекомендует удалить переменные окружения LESSOPEN и LESSCLOSE, если они заданы в системе.
Руководитель компании Sonrise Software Майкл Спенсер (Michael Spencer) объявил о начале разработки операционной системы Quantum OS (ранее известной как Quartz OS), которая будет следовать руководству Material Design от Google.
Спенсер пишет в блоге новой ОС следующее: «Мы планируем разработать пользовательскую оболочку и приложения с использованием Qt5 и QML, которые будут хорошо отполированы и с динамичным пользовательским интерфейсом, а также будут выполнены в рамках концепции Material Design». Предполагается, что такие приложения будут кроссплатформенными и их можно будет использовать на Linux, Mac OS и Windows.
«Мы планируем сначала использовать существующий дистрибутив, скорее всего, это будет Arch Linux или Ubuntu. У Arch больше шансов, потому что у него простой пакетный менеджер, легковесная базовая система и задействована модель непрерывного выпуска обновлений», — пишет Майкл Спенсер. В первую очередь планируется подготовить кодовую базу, которая не будет затрагивать существующие компоненты и которую можно будет использовать на любом дистрибутиве с поддержкой Wayland. Пока проект не предоставляет рабочего решения, однако для участия приглашены все заинтересованные. Код проекта размещается на GitHub.
