The Linux Home Page at Linux Online

IBM X-Force Advanced R&DのJon Larimer氏がShmooCon 2011で発表した内容がFrequency X Blogにまとめられている。Linuxにおけるオートラン脆弱性について発表するという内容になっており、Linuxにおける活線挿抜可能なデバイスを使った脆弱性の内容を知る上で興味深い内容となっている。

WindowsではUSBメモリやDVDなどのメディアが接続された場合、自動的に実行すると定められたファイルがある場合には、自動実行が実施されることがある。この機能を悪用されると、悪意あるプログラムを簡単に実行される可能性があるため、現在では多くの場合でこの設定は無効になっている。

Linuxにも同様の自動実行機能を実装したディストリビューションも存在するが、基本的には一旦ユーザに実行するかどうかを確認するようになっている。Jon Larimer氏が指摘した内容は自動実行と脆弱性を利用した内容になっている。氏はプレビューデータ作成時における脆弱性を利用。スクリーンセーバのロック機能を有効にしてロックをかけた状態のUbuntu Desktop 10.10に、脆弱性を利用するように細工したデータを仕込んだUSBメモリを挿入。本来ははずれてはならないロックがはずれてユーザが利用できる状態になることをデモンストレーションしている。

指摘された内容は自動的に処理される機能と脆弱性を組み合わせたもので、Linuxデスクトップにおける脆弱性の例として興味深い。なお紹介されている機能に関しては脆弱性を修正するか、Nautilusにおけるプレビュー機能を制限することで回避可能。