Команда Google Project Zero обнаружила уязвимость в библиотеке libxslt, используемой в проектах GNOME. Эта библиотека, основанная на libxml2, применяется для преобразования XML-документов с помощью XSLT (Extensible Stylesheet Language Transformations). Проблема, выявленная специалистами, может привести к серьезным последствиям, включая выполнение вредоносного кода и сбои в работе программ.
Суть уязвимости и ее последствия
Уязвимость связана с ошибкой типа use-after-free (UAF) в библиотеке libxslt, вызванной некорректным освобождением памяти в структуре Result Value Tree (RVT). Данная проблема создает потенциальную угрозу, так как злоумышленники могут использовать ее для выполнения вредоносного кода или спровоцировать сбои приложений из-за ошибок сегментации. Уязвимость затрагивает множество приложений, использующих libxslt, включая веб-приложения на PHP и Python, Doxygen, Gnumeric и систему справки GNOME.
Команда Google Project Zero классифицировала уязвимость как среднюю по уровню серьезности (S2) и приоритету (P2), что указывает на значительное влияние на связанные приложения. Проблема была зарегистрирована 6 мая 2025 года, и разработчикам GNOME был предоставлен стандартный 90-дневный срок для ее устранения.
Процесс раскрытия и текущая ситуация
Google Project Zero придерживается политики ответственного раскрытия уязвимостей: после обнаружения проблемы разработчик получает 90 дней на выпуск исправления, после чего информация публикуется. В некоторых случаях предоставляется дополнительный 30-дневный льготный период. В данном случае срок истек, и Google раскрыла детали уязвимости, включая proof-of-concept (PoC) код, который может быть использован злоумышленниками для создания эксплойтов.
Проект GNOME, в свою очередь, отслеживает проблему, однако работа над исправлением затруднена. Основная причина — отсутствие активного сопровождающего библиотеки libxslt. Ее создатель, Даниэль Вейяр, по данным сообщества, не отвечает на запросы уже несколько месяцев. Это усложняет выпуск официального исправления, и, вероятно, сторонним системам придется самостоятельно устранять проблему.
Проблемы с сопровождением и дальнейшие шаги
Отсутствие активного разработчика для libxslt создает значительные трудности. Сообщество GNOME активно обсуждает проблему, но текущие попытки создать патч приводят к сбоям в других компонентах библиотеки. Это замедляет процесс исправления, а публичное раскрытие уязвимости увеличивает риски, так как злоумышленники уже имеют доступ к PoC-коду.
Рекомендации для пользователей и разработчиков
Пока официальное исправление не выпущено, разработчикам приложений, использующих libxslt, рекомендуется внимательно отслеживать обновления от GNOME и внедрять временные меры защиты. Пользователям стоит обновлять программное обеспечение и следить за уведомлениями от разработчиков приложений, чтобы минимизировать риски.
Данная ситуация подчеркивает важность своевременного сопровождения open-source проектов и оперативного устранения уязвимостей. Без активного участия сообщества и разработчиков подобные проблемы могут оставаться нерешенными, создавая угрозу для безопасности пользователей.
Linux: обзоры и обновления
• Fedora разрешила использование ИИ в проектах, сохранив ответственность за авторами
• Релиз KDE Plasma 6.5: Что нового
• Производительность AMD Ryzen 9 9950X и 9950X3D на Windows 11 и Ubuntu: результаты тестов
• Обновления Linux за неделю: 13 – 19 октября 2025 года
• GE-Proton 10-21 для Steam Deck и Linux исправляет проблемы с Blue Protocol, Black Desert, Battle.net и Ubisoft Connect
• Proton Experimental получил исправления для Assassin’s Creed Shadows, Age of Empires: Definitive Edition и других игр