Google Project Zero 发现 libxslt 库中的漏洞影响 GNOME 应用程序

Google Project Zero 发现 libxslt 库中的漏洞影响 GNOME 应用程序

了解 Google Project Zero 在软件安全中的作用

Google Project Zero 是一个杰出的安全团队,致力于识别包括 Google 在内的各家供应商软件产品中的漏洞。他们独特的披露流程包括私下通知供应商安全问题,并给予供应商 90 天的时间来开发和发布补丁。在某些情况下,可能会提供额外的 30 天宽限期。

这种方法背后的原理很简单:当安全威胁即将被公开披露时,企业会受到激励,加快响应速度。多年来,Project Zero 已记录了多个平台的漏洞,包括 Windows、ChromeOS 和 Linux CentOS。最近,该团队因在一个广泛使用的 GNOME 库中发现一个安全问题而登上头条新闻。

Libxslt:GNOME 的关键组件

libxslt库基于 libxml2 框架构建,是 GNOME 项目下开源软件生态系统的重要组成部分。该库通过可扩展样式表语言转换 (XSLT) 实现 XML 文档的转换。其应用范围广泛,从将 XML 转换为 Web 浏览器可用的 HTML,到在办公软件中渲染内容,不一而足。值得注意的是,它已被集成到各种应用程序中,包括 PHP 和 Python Web 实现、Doxygen、Gnumeric 以及 GNOME 帮助系统。

近期发现的漏洞

几个月前,Google Project Zero 发现了 libxslt 中的一个严重漏洞,并于 2025 年 5 月 6 日私下将此问题告知了 GNOME 团队。作为其标准协议的一部分,他们提供了 90 天的修复期。如果您对技术细节感兴趣,可以在此处找到有关该漏洞的详细信息。总而言之,该漏洞是一个释放后使用 (UAF) 问题,源于特定条件下对结果值树 (RVT) 的不当管理。此漏洞存在重大风险,可能使系统面临恶意代码执行的风险,并导致因段错误而导致的软件崩溃。

Google Project Zero 指定的严重性等级反映了该缺陷的潜在影响:优先级分类为 P2,严重性等级为 S2,表明虽然该问题属于中等严重程度,但它可能会对相关应用程序产生重大影响。

笔记本电脑显示屏,打开编码 IDE,前面有眼镜
图片来自 Kevin Ku (Pexels)

GNOME 的持续响应

为了响应 Project Zero 的发现,GNOME 也密切跟踪了所报告的 bug,并在标准披露期结束后将其公开。查看讨论后发现,虽然正在努力创建补丁,但由于一些可能破坏其他组件的复杂因素,进展受到了阻碍。此外,libxslt 缺乏积极的维护者也令人担忧,据报道,其原始创建者 Daniel Veillard 已数月未回复。这增加了上游补丁可能永远无法实现的可能性,最终导致下游系统不得不“自生自灭”。

结论:形势复杂

目前围绕该漏洞的形势错综复杂。谷歌在90天期限过后公开披露了该漏洞,而GNOME却未提出异议,这凸显了一个严峻的现实。由于缺乏专门的维护人员,该项目只能承受未解决问题带来的后果,而该漏洞目前已公开发布,并附带概念验证 (PoC) 代码,这给网络犯罪分子利用该漏洞带来了巨大的风险。

来源和图片

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注