熊孩子乱敲键盘攻破linux桌面,“熊孩子”乱敲键盘就攻破了Linux桌面,大神:17年前我就警告过你们...
原标题:“熊孩子”乱敲键盘就攻破了Linux桌面,大神:17年前我就警告过你们
晓查 萧箫 发自 凹非寺
量子位 报道 | 公众号 QbitAI
Linux系统,居然被两个不懂任何技术的小孩“攻破”了。
他们只是在键盘和屏幕上一通乱按,就轻松绕过密码,进入了被锁定的Linux系统桌面。
最近,一位程序员父亲就这样,眼睁睁地看着自己的电脑被孩子“玩坏”。
作为一名程序员,他首先想到的不是打骂孩子,而是—— 如何复现漏洞。
他发现这个漏洞确实是孩子乱按导致的,在某些特殊按键组合下,Linux的屏幕锁定进程会崩溃,从而绕过了密码。
也就是说,只要有人知道了这个漏洞,无需密码就可以偷偷打开别人已经锁定的Linux电脑。
他将情况反馈到官方GitHub上,最终这个奇怪的漏洞上周被正式修复了。
但这并不能让程序员们放心,这些年因Linux桌面进程崩溃导致的安全漏洞层出不穷,屡见不鲜,你永远不知道下一个bug会是什么。
孩子们“乱杀”的桌面系统漏洞
这两个小孩,是怎么“发现”这一漏洞的呢?
这位程序员父亲将自己的电脑锁定后,孩子们试图解锁它,就开始在电脑键盘上瞎打。
△大致是这个画风
突然,屏保界面消失,孩子们成功进入了Linux系统。
什么?连密码都没有输入?
他让他们再演示一次。这次,孩子们同样做到了,但依旧只是“乱敲”键盘而已。
太奇怪了。
他在两个小孩离开后,自己又悄悄地试了一下,没能成功。
不过他认为,这肯定是个漏洞,因为已经亲眼见过两次了。
这位程序员父亲所用的桌面系统是Cinnamon (Linux桌面环境之一),他推测,Cinnamon是不是有什么奇怪的bug,在不输入密码的情况下也能解锁桌面。
当天晚上10点半,他在Linux Mint的GitHub页面上反馈了这一bug,并描述了孩子们敲击键盘的场景:
他们 同时按下了物理键盘和屏幕虚拟键盘,而且,尽量多按一些虚拟键盘。
消息一出,马上就有网友表示,自己同样遇到了这种问题,而且用的桌面系统也是Cinnamon。
随后,Linux Mint程序员火速赶往现场。
检查后发现,这的确是一个bug,而且Cinnamon 4.2以上的桌面系统,都会受到影响,因为这一版开始支持屏幕虚拟键盘了。
现在,Linux Mint已经为这个漏洞推出了一个新补丁,不过需要自己手动安装。
人生苦短,不如用KDE (手动狗头)。
大神:17年前我就警告过他们
对于如此荒谬而简单的漏洞,自然引起各路程序员对Linux桌面的吐槽。
关于这个问题的GitHub issue页面都被程序员们玩坏了。
有人说: 这个CVE应该归功于孩子们…
还有人在回帖中发个表情包:我想程序员们应该会这样复现bug。
但要论吐槽最狠的,还是著名程序员大神 jwz。
今天凌晨,这位大神又双叒叕发了一篇文章来吐槽此事,标题是 《我已经告诉过你们之2021版》。
因为早在17年前,他就警告过Cinnamon和GNOME官方:
如果没有在Linux上运行XScreenSaver,那么可以你的屏幕就相当于没有锁定。
之后每隔几年,jwz都会出来把这段话再说一遍。
jwz还调侃说:“翻车”一次是偶然,两次是巧合,三次是敌人的破坏,四次是GNOME官方。
而这四次安全漏洞,jwz都有详细的记录:
CVE-2014-1949, MDVSA-2015:162:在Cinnamon屏幕保护程序中按菜单键,再按ESC键,就可以进入shell;
按住向下键,解锁Cinnamon屏幕保护程序;
按住回车键,解锁GNOME屏幕保护程序。修bug引发的新漏洞
导致Linux Mint漏洞是由于3月前修复另一个bug引起的。
这个漏洞存在于Linux显示服务xorg-x11-server中,其最大威胁是对数据机密性和完整性以及系统可用性的威胁。
更让人哭笑不得的是,Ubuntu 20.04在向后移植xorg的时候,由于使用了没有该bug的1.20.9版,反而逃过一劫。
结果就是,xorg更新修复以后,任何人都可以让屏幕锁定程序崩溃,然后进入桌面。
无独有偶,这不禁让人想起GNOME两个月前的另一个“低级”漏洞。
一位程序员通过将账户服务陷入无限循环,使GNOME的账户守护程序崩溃。之后就能在锁定界面添加新的sudo用户,并获取root权限。
这个锅该让GNOME来背吗?jwz认为,归根结底是因为现在的Linux图形化界面根基 X11存在着不可修复的严重问题:
1、锁定和身份验证是操作系统级别的问题。
尽管X11是Linux计算机操作系统的核心,但它的设计没有安全性可言,锁定程序必须以普通的、非特权的用户级应用程序一样运行。
2、X11体系结构的这一错误永远无法修复。
X11太旧、太僵化,并且有太多利益相关者无法对它进行任何有意义的更改。这就是为什么人们不断尝试替换X11的原因并失败了,因为它根深蒂固。
虽然现在有Wayland作为X11的替代品,但仍有网友替换为Wayland后,Ubuntu桌面依然存在某些缺陷。
比如唤醒电脑后,会在原来的桌面停留10~20秒才能进入锁屏状态,这个过程中桌面的隐私会一览无余。
鉴于Linux桌面的安全性问题漏洞百出,为了防止未被发现漏洞遭利用,有用户建议先安装 XSecureLock,多上一把锁。
我热切期待着听到他们如何解决这个问题。
jwz在自己的博客里如是说。
— 完—
本文系网易新闻•网易号特色内容激励计划签约账号【量子位】原创内容,未经账号授权,禁止随意转载。
加入AI社群,拓展你的AI行业人脉
量子位「AI社群」招募中!欢迎AI从业者、关注AI行业的小伙伴们扫码加入,与 50000+名好友共同关注人工智能 行业发展&技术进展:
量子位QbitAI · 头条号签约作者
վ'ᴗ' ի 追踪AI技术和产品新动态
一键三连「分享」、「点赞」和「在看」
科技前沿进展日日相见~返回搜狐,查看更多
责任编辑:
熊孩子乱敲键盘攻破linux桌面,“熊孩子”乱敲键盘就攻破了Linux桌面,大神:17年前我就警告过你们...相关推荐
- “熊孩子”乱敲键盘就攻破了Linux桌面,其父亲发现linux漏洞,大神17年前就已经警告
来源:量子位 Linux系统,居然被两个不懂任何技术的小孩"攻破"了. 他们只是在键盘和屏幕上一通乱按,就轻松绕过密码,进入了被锁定的Linux系统桌面. 最近,一位程序员父亲就这 ...
- 熊孩子乱敲键盘攻破linux桌面,“熊孩子”乱敲键盘就攻破了 Linux 桌面,大神:17 年前我就警告过你们...
原标题:"熊孩子"乱敲键盘就攻破了 Linux 桌面,大神:17 年前我就警告过你们 转自:量子位(ID:QbitAI) Linux系统,居然被两个不懂任何技术的小孩"攻 ...
- “熊孩子”乱敲键盘就攻破了Linux桌面,大神:17年前我就警告过你们
本文转载自 量子位,作者 晓查 萧箫 Linux系统,居然被两个不懂任何技术的小孩"攻破"了. 他们只是在键盘和屏幕上一通乱按,就轻松绕过密码,进入了被锁定的Linux系统桌面. ...
- 熊孩子乱敲键盘攻破Linux,“熊孩子”乱敲键盘就攻破了Linux桌面,大神:17年前我就警告过你们...
晓查 萧箫 发自 凹非寺 量子位 报道 | 公众号 QbitAI Linux系统,居然被两个不懂任何技术的小孩"攻破"了. 他们只是在键盘和屏幕上一通乱按,就轻松绕过密码,进入了被 ...
- 熊孩子乱敲键盘攻破linux桌面,“熊孩子”乱敲键盘攻破了Linux桌面 大神:17年前我就警告过...
Linux 系统,居然被两个不懂任何技术的小孩"攻破"了. 他们只是在键盘和屏幕上一通乱按,就轻松绕过密码,进入了被锁定的 Linux 系统桌面. 最近,一位程序员父亲就这样,眼睁 ...
- 100 道 Linux 笔试题,能拿 80 分就算运维大神!
本套笔试题共100题,每题1分,共100分.(参考答案在文章末尾) 1. cron 后台常驻程序 (daemon) 用于: A. 负责文件在网络中的共享 B. 管理打印子系统 C. 跟踪管理系统信 ...
- Linux面试试题宝典,你能打多少分?大神勿进
linux面试宝典(1) 一.选择题 1. Linux系统中DNS服务进程名为 ( ) A.named B.httpd C.ftpd D.SysLog 2.在UINX/Linux中,系统Roo ...
- 熊孩子乱敲键盘攻破linux桌面,“熊孩子”乱敲键盘攻破了Linux桌面,怎么做到的?...
本文来自微信公众号:量子位(ID:QbitAI),作者:晓查.萧箫,原文标题:<"熊孩子"乱敲键盘就攻破了Linux桌面,大神:17年前我就警告过你们>,题图来自:视觉 ...
- 桌面上 计算机 图标打不开,突然间电脑桌面上的所有图标都打不开了,怎么回事,求大神讲解...
突然间电脑桌面上的所有图标都打不开了,怎么回事,求大神讲解以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! 突然间电脑桌面 ...
最新文章
- 生活中的一些感悟与记录
- iis php5.6.8配置,Windows 8.1 + IIS 8.5 + PHP 5.6.3配置
- Gradle 教程:第一部分,安装【翻译】
- JBPM中 使用JobExecutor执行timer定义的job
- ubuntu要更新18.04了,lei了lei了~~~
- Spring事务操作-事务引入
- 百度搜索引擎优化指南3.0_深圳网站搜索引擎排名优化电话,百度优化排名费用_华阳网络...
- java 客户化排序_第八部分_客户化JSP标签
- MySQL+for+Mac下载_MySQL For mac
- 基于java语言轻量级实时风控引擎
- (0)PCIE接口目录(学无止境)
- 2022年人才市场洞察及薪酬指南:观势、观薪、观心
- Name or service not know
- Linux忘记密码修改密码
- arduinouno的地是相连的吗_德阳马自达3方向机,宝马X7电子方向机进水可以修吗
- Java反射学习笔记
- am调制解调仿真matlab,AM调制与解调仿真matlab
- 计算机速成课 第三十七集 机器人
- 好用简单、且永久免费的内网穿透工具
- 小学生防溺水安全主题班会教案
热门文章
- 平台数据库授权时造成主从同步失败问题的事故报告20120705
- 第21天 保护操作系统
- android opengl版本,安卓模拟器无法安装系统opengl版本过低的通用解决方法
- linux jstat 报错没有此命令,jstat版本不兼容问题
- 如何将12345这样的数字转换成相对应的大写的中文字? 比如:壹万贰千弎百肆十伍。
- MoreFileRename批量文件改名工具
- 【Arduino 和 MPU6050 加速度计和陀螺仪教程】
- 知乎 运动规划和路径规划_运动路径–过去,现在和未来
- 关于深度学习人工智能模型的探讨(三)(5)
- 创新工场李开复:创新是水到渠成的事情