Брешь в GNOME позволяет скомпрометировать пароль пользователя Fedora 20

В Fedora 20 с рабочим столом GNOME (официальный релиз сборки должен состояться в ближайшее время) была обнаружена уязвимость, позволяющая раскрыть пароль пользователя во время переключения между учетными записями в ОС. Опасность бреши заключается в том, что в текущей версии Fedora 20 рабочий стол GNOME установлен по умолчанию.

Для эксплутации уязвимости необходимо провести ряд операций: войти в систему как один из ее пользователей, а затем переключиться на другого пользователя и обратно. Далее следует выполнить блокировку экрана и предпринять попытку авторизации в качестве другого пользователя. В результате этих манипуляций пароль будет отображен на экране в незашифрованном виде.

По данным независимых исследователей, существует еще несколько способов раскрытия паролей, однако все они основаны на особенностях работы функционала GNOME в части блокировки и переключения пользователей.

Впервые сообщение о бреши появилось на bugzilla.redhat.com, где ее описание разместил независимый специалист в сфере информационной безопасности Джеймс Паттерсон (James Patterson). По его словам, некорректная работа GNOME наблюдалась не только на Fedora 20, но и на нескольких других системах.