As versões atuais do Ubuntu e CentOS estão desativando um recurso de segurança que foi adicionado ao ambiente de área de trabalho GNOME no ano passado.
O nome do recurso é Bubblewrap. Ele é um ambiente seguro que o Projeto GNOME adicionou para proteger os analisadores de miniaturas em julho de 2017.
Analisadores de miniaturas são scripts que leem arquivos dentro de um diretório e criam imagens em miniatura para serem usados com o GNOME ou outros ambientes de desktop.
Essa operação ocorre toda vez que um usuário navega para pastas, e o sistema operacional precisa exibir miniaturas dos arquivos contidos nele.
Nos últimos anos, pesquisadores de segurança provaram que a análise em miniatura pode ser um vetor de ataque quando hackers induzem o usuário a baixar um arquivo com boobytrapped em sua área de trabalho, que é então executado pelo analisador de miniaturas [ 1 , 2 , 3 ].
É por esse motivo que a equipe do GNOME adicionou sandboxes do Bubblewrap para todos os scripts do analisador de miniaturas do GNOME no ano passado.
Ubuntu e CentOS desabilitam o recurso no GNOME
Mas de acordo com o pesquisador de segurança alemão e jornalista Hanno Boeck, o sistema operacional Ubuntu está desabilitando o suporte do Bubblewrap dentro do GNOME para todas as versões recentes do sistema operacional.
Além disso, o pesquisador de segurança do Google, Tavis Ormandy, também descobriu que os sandboxes do GNOME Bubblewrap também estavam ausentes na versão padrão do CentOS 7.x.
Mas há uma explicação válida para o que o Ubuntu está fazendo. De acordo com Alex Murray, líder de tecnologia de segurança do Ubuntu na Canonical. Segundo Murray a equipe do Ubuntu optou por desabilitar o Bubblewrap do GNOME porque eles não tinham tempo e recursos para auditar o recurso. Murray explica:
“O Bubblewrap é um software relativamente novo que faz algumas coisas complicadas para configurar sandboxes. Se nós apenas promovê-lo cegamente para o sistema [Ubuntu principal] e, em seguida, descobrirmos que ele tem uma vulnerabilidade em si, que poderíamos ter pego através de revisão de código, não seria um bom resultado para os nossos usuários.”
Ele acrescenta:
“É fácil criticar, mas a realidade é que, para enviar uma distribuição de alta qualidade, todos os pacotes disponibilizados [o Ubuntu principal] precisam passar por um processo de revisão minucioso que leva tempo. Provavelmente chegará em breve, mas a equipe de segurança tem recursos limitados e, sendo 2018 o ano de toda uma nova classe de vulnerabilidades aparentemente sem fim (aka Spectre etc.), todos precisam ser pacientes.”
