Команда Google Project Zero обнаружила уязвимость в библиотеке libxslt, используемой в проектах GNOME. Эта библиотека, основанная на libxml2, применяется для преобразования XML-документов с помощью XSLT (Extensible Stylesheet Language Transformations). Проблема, выявленная специалистами, может привести к серьезным последствиям, включая выполнение вредоносного кода и сбои в работе программ.
Суть уязвимости и ее последствия
Уязвимость связана с ошибкой типа use-after-free (UAF) в библиотеке libxslt, вызванной некорректным освобождением памяти в структуре Result Value Tree (RVT). Данная проблема создает потенциальную угрозу, так как злоумышленники могут использовать ее для выполнения вредоносного кода или спровоцировать сбои приложений из-за ошибок сегментации. Уязвимость затрагивает множество приложений, использующих libxslt, включая веб-приложения на PHP и Python, Doxygen, Gnumeric и систему справки GNOME.
Команда Google Project Zero классифицировала уязвимость как среднюю по уровню серьезности (S2) и приоритету (P2), что указывает на значительное влияние на связанные приложения. Проблема была зарегистрирована 6 мая 2025 года, и разработчикам GNOME был предоставлен стандартный 90-дневный срок для ее устранения.
Процесс раскрытия и текущая ситуация
Google Project Zero придерживается политики ответственного раскрытия уязвимостей: после обнаружения проблемы разработчик получает 90 дней на выпуск исправления, после чего информация публикуется. В некоторых случаях предоставляется дополнительный 30-дневный льготный период. В данном случае срок истек, и Google раскрыла детали уязвимости, включая proof-of-concept (PoC) код, который может быть использован злоумышленниками для создания эксплойтов.
Проект GNOME, в свою очередь, отслеживает проблему, однако работа над исправлением затруднена. Основная причина — отсутствие активного сопровождающего библиотеки libxslt. Ее создатель, Даниэль Вейяр, по данным сообщества, не отвечает на запросы уже несколько месяцев. Это усложняет выпуск официального исправления, и, вероятно, сторонним системам придется самостоятельно устранять проблему.
Проблемы с сопровождением и дальнейшие шаги
Отсутствие активного разработчика для libxslt создает значительные трудности. Сообщество GNOME активно обсуждает проблему, но текущие попытки создать патч приводят к сбоям в других компонентах библиотеки. Это замедляет процесс исправления, а публичное раскрытие уязвимости увеличивает риски, так как злоумышленники уже имеют доступ к PoC-коду.
Рекомендации для пользователей и разработчиков
Пока официальное исправление не выпущено, разработчикам приложений, использующих libxslt, рекомендуется внимательно отслеживать обновления от GNOME и внедрять временные меры защиты. Пользователям стоит обновлять программное обеспечение и следить за уведомлениями от разработчиков приложений, чтобы минимизировать риски.
Данная ситуация подчеркивает важность своевременного сопровождения open-source проектов и оперативного устранения уязвимостей. Без активного участия сообщества и разработчиков подобные проблемы могут оставаться нерешенными, создавая угрозу для безопасности пользователей.
Linux: обзоры и обновления
• Плагины StarDict в Debian 13 отправляют данные пользователей на китайские серверы
• Релиз KDE Plasma 6.4.4: исправлены ошибки KWin и улучшена работа Discover
• Уязвимость в libxslt угрожает безопасности приложений GNOME
• NVIDIA работает над «общей оптимизацией» производительности VKD3D / DirectX 12 игр в Linux
• openSUSE Leap 16.0 ограничивает поддержку игр в Steam из-за отказа от 32-битных библиотек
• MX Linux 25 планирует переход на Wayland для KDE по умолчанию и поддержку Secure Boot