熊孩子敲键盘破解Linux桌面。上帝:我17年前就警告过你。Linux系统居然被两个不懂技术的孩子“砸”坏了。他们只需在键盘和屏幕上随意按下,就可以轻松绕过密码,进入被锁定的Linux系统桌面。最近,一位程序员爸爸就是这样,眼睁睁地看着自己的电脑被孩子“砸”坏了。作为程序员,他首先想到的不是打骂孩子,而是如何重现bug。他发现这个漏洞确实是孩子乱按造成的。在某些特殊的组合键下,Linux的锁屏过程会崩溃,从而绕过密码。也就是说,只要有人知道了这个漏洞,就可以偷偷打开别人已经锁定的无密码Linux电脑。他将情况反馈给了官方GitHub,终于在上周官方修复了这个奇怪的bug。但这并不能使程序员放心。这些年来,Linux桌面进程崩溃导致的安全漏洞层出不穷。你永远不知道下一个错误会是什么。孩子们“乱杀”的桌面系统漏洞这两个孩子是怎么“发现”这个漏洞的?程序员爸爸锁上电脑后,孩子们试着解锁,开始在电脑键盘上敲打。△大概是因为这个画风,屏保界面消失了,孩子们顺利进入了Linux系统。什么?连密码都不输入?他要求他们再次示威。这一次,孩子们也照样做了,但他们仍然只是“敲”着键盘。太奇怪了。等两个孩子走后,他又悄悄试了一次,还是失败了。不过,他相信这一定是漏洞,因为他亲眼见过两次。程序员父亲使用的桌面系统是Cinnamon(Linux桌面环境之一)。他推测Cinnamon有一些奇怪的错误,可以在不输入密码的情况下解锁桌面。当晚10点30分,他在LinuxMintGitHub页面上报告了这个bug,并描述了孩子们敲击键盘的场景:他们同时按下了物理键盘和屏幕上的虚拟键盘,而且,一样多尽可能多地按下虚拟键盘。键盘。消息一出,有网友表示自己也遇到过这种问题,而且他们用的桌面系统也是Cinnamon。随后,LinuxMint的程序员赶到现场。检查后发现这确实是一个bug,Cinnamon4.2以上的桌面系统都会受到影响,因为这个版本开始支持屏幕虚拟键盘。导致这个bug的具体行为是:长按“e”键,在虚拟键盘上选择“ē”。现在,LinuxMint已经发布了针对该漏洞的新补丁,但需要您手动安装。人生苦短,不如用KDE(手动狗头)。大神:我在17年前就警告过他们这么一个荒谬而简单的漏洞,自然引起了各行各业的程序员对Linux桌面的吐槽。这个问题的GitHubissuepage都被程序员搞坏了。有人说:这个CVE应该归功于孩子们……还有人在回复中发了个表情:我觉得程序员应该这样重现bug。不过最狠的还是jwz,大名鼎鼎的程序员。今天凌晨,大神又发文吐槽此事,标题是《我已经告诉过你们之2021版》。因为早在17年前,他就警告过Cinnamon和GNOME的官员:如果你不在Linux上运行XScreenSaver,那么你的屏幕就相当于没有被锁定。之后每隔几年jwz就会出来把这段话说一遍。jwz还打趣说:“翻车”一次是意外,两次是巧合,三次是敌人破坏,四次是GNOME官方。对于这四个安全漏洞,jwz有详细的记录:CVE-2019-3010,特殊提权可以从OracleSolaris屏保获取;CVE-2014-1949、MDVSA-2015:162:在Cinnamon屏保中按菜单键再按ESC键进入shell;按住向下键解锁Cinnamon屏保;按回车键解锁GNOME屏幕保护程序。错误修复导致的新漏洞LinuxMint漏洞是由三个月前修复的另一个错误引起的。该漏洞存在于Linux显示服务xorg-x11-server中,其最大的威胁是对数据机密性和完整性以及系统可用性的威胁。更可笑的是,Ubuntu20.04在向后移植xorg的时候,因为使用的是1.20.9版本而没有这个bug,才躲过一劫。当Ubuntu开发人员意识到他们没有修补CVE-2020-25712时,他们遇到了一个新漏洞。因此,在xorg更新修复后,任何人都可以使屏幕锁定器崩溃并进入桌面。巧合的是,这不禁让人想起两个月前GNOME的另一个“低级”漏洞。一名程序员通过将帐户服务置于无限循环中而使GNOME的帐户守护程序崩溃。之后就可以在锁定界面添加新的sudo用户,获得root权限。这个锅应该由GNOME负责吗?jwz认为,归根结底,目前Linux图形界面的基础X11存在无法修复的严重问题:1.锁定和认证是操作系统层面的问题。尽管X11是Linux计算机操作系统的核心,但它在设计时并没有考虑到安全性,锁定的程序必须像普通的、非特权用户级应用程序一样运行。2、X11架构的这个bug永远无法修复。X11太旧、太死板,而且利益相关者太多,无法对其进行任何有意义的更改。这就是为什么人们不断尝试替换X11而失败的原因,因为它是如此根深蒂固。虽然现在使用Wayland作为X11的替代品,但是网友们将其替换为Wayland后,Ubuntu桌面还是存在一些缺陷。例如,唤醒电脑后,会在原来的桌面停留10到20秒,然后进入锁屏状态。在这个过程中,桌面的隐私会一目了然。鉴于Linux桌面的安全漏洞百出,为了防止未被发现的漏洞被人利用,有用户建议先安装XSecureLock并加一把额外的锁。我热切期待听到他们如何解决这个问题。jwz在他的博客中这样说。
