Η Microsoft δημοσίευσε καθοδήγηση και συμβουλές για την backdoor ευπάθεια του XZ Utils, που παρακολουθείται στο CVE-2024-3094. Αυτή η ευπάθεια έχει βαθμολογία CVSS (Common Vulnerability Scoring System) 10 στα 10 και επηρεάζει πολλές διανομές Linux, συγκεκριμένα τις Fedora, Kali Linux, OpenSUSE, Debian testing, Alpine, και θα μπορούσε να είχε τεράστιο παγκόσμιο αντίκτυπο.
Η ευπάθεια ανακαλύφθηκε κατά λάθος και εγκαίρως από έναν προγραμματιστή του Microsoft Linux, τον Andres Freund, ο οποίος ήταν περίεργος γιατί υπήρχε καθυστέρηση 500 ms στις συνδέσεις SSH (Secure Shell). Έτσι ανακάλυψε ένα backdoor που είχε ενσωματωθεί σε τον συμπιεστή αρχείων XZ.
Μέχρι στιγμής, η VirtusTotal αναφέρει μόνο τέσσερις προμηθευτές ασφαλείας από τους 63, συμπεριλαμβανομένης της Microsoft, που μπορούν να εντοπίζουν σωστά την ευπάθεια.
Σύμφωνα με τις οδηγίες της εταιρείας, για να επαληθεύσετε εάν ένα σύστημα έχει ευάλωτο λογισμικό, μπορείτε να τρέξετε την παρακάτω εντολή σαν root:
xz –version