Команда Google Project Zero обнаружила уязвимость в библиотеке libxslt, используемой в проектах GNOME. Эта библиотека, основанная на libxml2, применяется для преобразования XML-документов с помощью XSLT (Extensible Stylesheet Language Transformations). Проблема, выявленная специалистами, может привести к серьезным последствиям, включая выполнение вредоносного кода и сбои в работе программ.
Суть уязвимости и ее последствия
Уязвимость связана с ошибкой типа use-after-free (UAF) в библиотеке libxslt, вызванной некорректным освобождением памяти в структуре Result Value Tree (RVT). Данная проблема создает потенциальную угрозу, так как злоумышленники могут использовать ее для выполнения вредоносного кода или спровоцировать сбои приложений из-за ошибок сегментации. Уязвимость затрагивает множество приложений, использующих libxslt, включая веб-приложения на PHP и Python, Doxygen, Gnumeric и систему справки GNOME.
Команда Google Project Zero классифицировала уязвимость как среднюю по уровню серьезности (S2) и приоритету (P2), что указывает на значительное влияние на связанные приложения. Проблема была зарегистрирована 6 мая 2025 года, и разработчикам GNOME был предоставлен стандартный 90-дневный срок для ее устранения.
Процесс раскрытия и текущая ситуация
Google Project Zero придерживается политики ответственного раскрытия уязвимостей: после обнаружения проблемы разработчик получает 90 дней на выпуск исправления, после чего информация публикуется. В некоторых случаях предоставляется дополнительный 30-дневный льготный период. В данном случае срок истек, и Google раскрыла детали уязвимости, включая proof-of-concept (PoC) код, который может быть использован злоумышленниками для создания эксплойтов.
Проект GNOME, в свою очередь, отслеживает проблему, однако работа над исправлением затруднена. Основная причина — отсутствие активного сопровождающего библиотеки libxslt. Ее создатель, Даниэль Вейяр, по данным сообщества, не отвечает на запросы уже несколько месяцев. Это усложняет выпуск официального исправления, и, вероятно, сторонним системам придется самостоятельно устранять проблему.
Проблемы с сопровождением и дальнейшие шаги
Отсутствие активного разработчика для libxslt создает значительные трудности. Сообщество GNOME активно обсуждает проблему, но текущие попытки создать патч приводят к сбоям в других компонентах библиотеки. Это замедляет процесс исправления, а публичное раскрытие уязвимости увеличивает риски, так как злоумышленники уже имеют доступ к PoC-коду.
Рекомендации для пользователей и разработчиков
Пока официальное исправление не выпущено, разработчикам приложений, использующих libxslt, рекомендуется внимательно отслеживать обновления от GNOME и внедрять временные меры защиты. Пользователям стоит обновлять программное обеспечение и следить за уведомлениями от разработчиков приложений, чтобы минимизировать риски.
Данная ситуация подчеркивает важность своевременного сопровождения open-source проектов и оперативного устранения уязвимостей. Без активного участия сообщества и разработчиков подобные проблемы могут оставаться нерешенными, создавая угрозу для безопасности пользователей.
Linux: обзоры и обновления
• В Ubuntu добавят локальный ИИ через snap и агентные сценарии
• Сравнение Ubuntu 26.04 и Windows 11: ОЗУ, загрузка процессора и время старта
• Обновления Linux за неделю (20 – 26 апреля 2026 года): релизы дистрибутивов, драйверы и приложения
• Релиз CachyOS 260426: замена Octopi на Shelly, добавили DoH и kyber для NVMe
• Microsoft возможно переведёт Azure Linux на основу Fedora
• Новости разработки KDE Plasma за 19–25 апреля 2026: меньше расход батареи