Ubuntu和CentOS正在撤销GNOME

当前版本的Ubuntu和CentOS正在禁用去年添加到GNOME桌面环境的安全功能。

该功能的名称是Bubblewrap,这是一个沙盒环境,GNOME项目在2017年7月添加了安全GNOME的缩略图解析器,伴随着GNOME 3.26的发布。

Bubblewrap旨在保护GNOME的缩略图系统

缩略图解析器是读取目录中文件并创建缩略图图像以与GNOME,KDE或其他Linux桌面环境一起使用的脚本。

每次用户导航到文件夹时都会执行此操作,并且操作系统需要显示其中包含的文件的缩略图。

近年来,安全研究人员已经证明,缩略图解析可以成为攻击向量,当黑客诱骗用户下载他们的桌面,然后通过缩略图分析器执行上boobytrapped文件。

出于这个原因,GNOME团队去年为所有GNOME缩略图解析器脚本添加了Bubblewrap沙箱。

Ubuntu,CentOS禁用Bubblewrap功能

但根据德国安全研究员兼记者Hanno Boeck的说法,Ubuntu操作系统正在禁用GNOME内部所有最新操作系统版本的Bubblewrap支持。

此外,Google安全研究员Tavis Ormandy还发现,在CentOS 7.x的默认版本中也缺少GNOME Bubblewrap沙箱。

但Canonical的Ubuntu安全技术主管Alex Murray表示,对Ubuntu正在做的事情有一个合理的解释。

Murray表示,Ubuntu团队选择禁用GNOME的Bubblewrap,因为他们没有时间和资源来审核该功能。

“泡泡包装是一种相对较新的软件,可以用来设置沙箱的复杂功能,”默里说。“如果我们盲目地将它推广到[Ubuntu main],然后发现它本身就有一个漏洞,我们可以事先通过代码审查发现,这对我们的用户来说不是一个好消息。”

“这很容易被批评,但现实是,要发送高质量的发行版,所有提升到[Ubuntu主要]的软件包必须经过一个需要时间的彻底审查过程,”Murray补充道。

“它可能会很快到达那里,但是安全团队的资源有限,2018年是一个全新的漏洞类型的一年,看似没有尽头(又名幽灵等),每个人都必须耐心等待。”

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/ubuntu-and-centos-are-undoing-a-gnome-security-feature/
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券