Google Project Zero 發現 libxslt 庫中的漏洞影響 GNOME 應用程式

Google Project Zero 發現 libxslt 庫中的漏洞影響 GNOME 應用程式

了解 Google Project Zero 在軟體安全中的作用

Google Project Zero 是一個傑出的安全團隊,致力於識別包括 Google 在內的各家供應商軟體產品中的漏洞。他們獨特的揭露流程包括私下通知供應商安全問題,並給予供應商 90 天的時間來開發和發布修補程式。在某些情況下,可能會提供額外的 30 天寬限期。

這種方法背後的原理很簡單:當安全威脅即將被公開揭露時,企業會受到激勵,加快回應速度。多年來,Project Zero 已記錄了多個平台的漏洞,包括 Windows、ChromeOS 和 Linux CentOS。最近,該團隊因在一個廣泛使用的 GNOME 庫中發現一個安全問題而登上頭條新聞。

Libxslt:GNOME 的關鍵組件

libxslt函式庫基於 libxml2 框架構建,是 GNOME 專案下開源軟體生態系統的重要組成部分。此程式庫透過可擴充樣式表語言轉換 (XSLT) 實現 XML 文件的轉換。其應用範圍廣泛,從將 XML 轉換為 Web 瀏覽器可用的 HTML,到在辦公室軟體中渲染內容,不一而足。值得注意的是,它已被整合到各種應用程式中,包括 PHP 和 Python Web 實作、Doxygen、Gnumeric 以及 GNOME 幫助系統。

近期發現的漏洞

幾個月前,Google Project Zero 發現了 libxslt 中的一個嚴重漏洞,並於 2025 年 5 月 6 日私下將此問題告知了 GNOME 團隊。作為其標準協議的一部分,他們提供了 90 天的修復期。如果您對技術細節感興趣,可以在此處找到有關漏洞的詳細資訊。總而言之,該漏洞是一個釋放後使用 (UAF) 問題,源自於特定條件下對結果值樹 (RVT) 的不當管理。此漏洞存在重大風險,可能使系統面臨惡意程式碼執行的風險,並導致因段錯誤而導致的軟體崩潰。

Google Project Zero 指定的嚴重性等級反映了該缺陷的潛在影響:優先級分類為 P2,嚴重性等級為 S2,表明雖然該問題屬於中等嚴重程度,但它可能會對相關應用程式產生重大影響。

筆記型電腦顯示屏,打開編碼 IDE,前面有眼鏡
圖片來自 Kevin Ku (Pexels)

GNOME 的持續響應

為了回應 Project Zero 的發現,GNOME 也密切追蹤了所報告的 bug,並在標準揭露期結束後將其公開。在查看討論後發現,雖然正在努力創建補丁,但由於一些可能破壞其他組件的複雜因素,進展受到了阻礙。此外,libxslt 缺乏積極的維護者也令人擔憂,據報道,其原始創建者 Daniel Veillard 已數月未回覆。這增加了上游補丁可能永遠無法實現的可能性,最終導致下游系統不得不「自生自滅」。

結論:情勢複雜

目前圍繞該漏洞的情況錯綜複雜。谷歌在90天期限過後公開揭露了該漏洞,而GNOME卻未提出異議,凸顯了一個嚴峻的現實。由於缺乏專門的維護人員,該專案只能承受未解決問題的後果,而該漏洞目前已公開發布,並附帶概念驗證 (PoC) 程式碼,這給網路犯罪分子利用該漏洞帶來了巨大的風險。

來源和圖片

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *