Опасная находка: уязвимость в библиотеке, используемой GNOME, обнаружена экспертами Google

Команда Google Project Zero, известная своими поисками уязвимостей в программном обеспечении, обнаружила серьезную проблему в библиотеке libxslt, которую используют многие приложения GNOME. Что это значит для обычных пользователей? Давайте разберемся.

Google Project Zero – это команда специалистов по безопасности, которая ищет слабые места в программах разных компаний, включая саму Google. Они сообщают о найденных проблемах разработчикам и дают им 90 дней на исправление, прежде чем обнародовать детали. Считается, что это заставляет компании быстрее реагировать на угрозы. Ранее команда сообщала об уязвимостях в Windows, ChromeOS и Linux CentOS. Теперь под прицел попала популярная библиотека GNOME.

Что такое libxslt и почему это важно?

libxslt – это библиотека с открытым исходным кодом, созданная в рамках проекта GNOME. Она позволяет преобразовывать XML-документы, например, в HTML для отображения веб-страниц в браузере или для обработки данных в офисных приложениях. Многие программы используют эту библиотеку, включая PHP, Python, Doxygen, Gnumeric и справочную систему GNOME.

Представьте, что libxslt – это универсальный переводчик, который помогает разным программам понимать друг друга. Если в этом "переводчике" есть ошибка, злоумышленники могут этим воспользоваться.

Google Project Zero обнаружила уязвимость в libxslt несколько месяцев назад и сообщила об этом GNOME 6 мая 2025 года. Суть проблемы в том, что из-за неправильной обработки данных в некоторых случаях возникает ошибка "use-after-free" (UAF). Это как если бы вы попытались использовать вещь, которую уже выбросили.

Подробности уязвимости можно найти здесь (англ.), но главное – эта ошибка может позволить злоумышленникам запускать вредоносный код или вызывать сбои в программах.

Google Project Zero оценила эту уязвимость как P2/S2, что означает среднюю степень серьезности с потенциально значительным влиянием на затронутые приложения.

Реакция GNOME: проблема есть, решения пока нет

GNOME также отслеживает эту проблему, но ситуация осложняется тем, что у libxslt нет активного главного разработчика (мейнтейнера). Похоже, что создатель библиотеки, Даниэль Вейллар, уже несколько месяцев не выходит на связь. Это значит, что исправление уязвимости может затянуться, и пользователям придется полагаться на собственные силы.

Как говорится в обсуждении на GitLab (англ.), патч, который решает проблему, ломает другие компоненты. Сообщество разработчиков пытается найти решение, но пока безуспешно.

Получается, что Google сообщила об уязвимости, GNOME признала проблему, но из-за отсутствия активного мейнтейнера исправить её некому. Сама уязвимость теперь общедоступна, и злоумышленники могут использовать её для атак.

Мнение редакции MSReview: Раскрытие уязвимости в libxslt поднимает важные вопросы об ответственности за поддержку и безопасность opensource проектов. В данном случае, отсутствие активного мейнтейнера создает серьезные риски для пользователей, использующих эту библиотеку. Это подчеркивает необходимость более надежных механизмов для обеспечения непрерывной поддержки и оперативного исправления уязвимостей в критически важных opensource компонентах.