Linux 的各個(gè)發(fā)行版都一直強(qiáng)調(diào)安全及其相關(guān)元素，比如防火墻、滲透測(cè)試、沙盒、無(wú)痕上網(wǎng)和隱私等等，但事實(shí)上可能并沒(méi)有想象中的那么安全。安全研究員 Chris Evans 公開(kāi)了其發(fā)現(xiàn)的針對(duì) Linux 桌面發(fā)行版的 0day 漏洞，利用特制的音頻文件入侵 Linux 桌面系統(tǒng)，允許攻擊者在受害者的計(jì)算機(jī)上運(yùn)行他想要的任何代碼，帶來(lái)潛在的破壞性后果。

Evans 稱該漏洞能工作在許多流行的 Linux 發(fā)行版上，包括 Ubuntu 16.04 LTS 和的 Fedora 25。它所需要的是一個(gè)惡意的音頻文件，以劫持電腦，甚至只是安裝谷歌瀏覽器。利用了名叫 Game Music Emu 和 libgme 的軟件庫(kù)的堆溢出漏洞，它們被用于模擬游戲機(jī)如 SNES(超級(jí)任天堂)的音樂(lè)。

在他的網(wǎng)站上，Evans 寫到：“我在這里提供了一個(gè)完整、可靠的當(dāng)前 Linux 發(fā)行版的漏洞利用，它是 Fedora 上下文中的一個(gè)完整版本，利用微妙的模擬錯(cuò)誤，看起來(lái)似乎極其難以利用，但最終呈現(xiàn)了100%被利用的可能性“。

超級(jí)任天堂娛樂(lè)系統(tǒng)的 .spc 中的特制音頻文件可以用來(lái)執(zhí)行攻擊者想要的任何代碼。 通過(guò)將其重命名為 .flac 或 .mp3 文件，用戶可能被欺騙執(zhí)行惡意代碼。Chrome 的沙盒機(jī)制并不能提供保護(hù)。

作者：佚名

來(lái)源：51CTO

總結(jié)

以上是生活随笔為你收集整理的新0-Day漏洞或将给Linux桌面发行版带来浩劫的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。