セキュリティ研究者は、SteamOSで使用されているLinux入力デバイスユーティリティInputPlumberに重大な脆弱性を発見しました。これにより攻撃者は、キーストロークの注入、機密情報の漏えい、そしてサービス拒否状態を引き起こせる可能性があります。
CVE-2025-66005およびCVE-2025-14338として追跡されているこれらの欠陥は、v0.69.0より前のInputPlumberに影響し、不十分なD-Bus認可チェックに起因します。
| CVE ID | 説明 | 影響を受けるバージョン | 影響 |
|---|---|---|---|
| CVE-2025-66005 | InputManager D-Busインターフェースでの認可欠如 | v0.63.0より前 | ローカルDoS、情報漏えい、権限昇格 |
| CVE-2025-14338 | Polkit認証がデフォルトで無効、ならびに競合状態 | v0.69.0より前 | 認証バイパス、CVE-2025-66005と同様の影響 |
InputPlumberはLinux入力デバイスを仮想コントローラーに統合し、完全なroot権限で動作するため、これらの脆弱性は特に深刻です。
これらの脆弱性により、非特権ユーザーが2つの危険なD-Busメソッドを悪用できるようになります。
CreateCompositeDevice メソッドは適切な検証なしにファイルパスを受け付けるため、攻撃者は制限されたファイルの存在確認、 /dev/zero から読み取ることでメモリを枯渇させること、または /root/.bash_history のようなファイルから機密データを漏えいさせることが可能になります。
さらに重大なのは、 CreateTargetDevice メソッドが仮想キーボードデバイスの作成を可能にする点です。
攻撃者はアクティブなユーザーセッションに任意のキーストロークを注入でき、ログイン中のユーザーとしてコマンドを実行できる可能性があります。
これにより、ユーザーアカウントの完全な侵害やデータの窃取につながる恐れがあります。
これらの脆弱性は、SteamOSを含む、脆弱なバージョンのInputPlumberを実行しているあらゆるLinuxディストリビューションに影響します。
このサービスはroot権限で動作し、10のインターフェースにわたって約90のD-Busプロパティを公開しているため、攻撃対象領域が拡大します。
InputPlumber v0.69.0では、主に以下により大半の問題に対処しています:
- 安全な「system bus name」Polkitサブジェクトへの切り替え
- Polkit認可をデフォルトで有効化
- systemdのハードニングパラメータを適用
SteamOSは、これらの修正を含むバージョン3.7.20をリリースしました。ユーザーは直ちに更新すべきです。
システム管理者は、InputPlumberがv0.69.0以降に更新されていることを確認し、適切な認証要件が維持されていることを確実にするためにPolkitポリシーを見直す必要があります。
これらの脆弱性はSUSE securityのレビュー中に発見され、上流開発者との協調開示を通じて公開されました。
翻訳元: https://gbhackers.com/critical-inputplumber-flaw-enables-ui-input-injection/
