4.16. サムネイル保護

サムネイルアイコンは、潜在的に攻撃者が USB デバイスや CD などのリムーバブルメディアを使用してロックされたマシンに侵入することを許してしまう可能性があります。システムがリムーバブルメディアを検出すると、マシンがロックされていても、Nautilus ファイルマネジャーがサムネイルドライバーコードを実行して適切なファイルブラウザ内にサムネイルアイコンを表示します。サムネイルの実行可能ファイルに脆弱性がある場合、攻撃者はサムネイルドライバーコードを使ってパスワード入力をせずにロックされた画面を迂回できるので、この動作は安全ではありません。
このため、このような攻撃を防ぐには新規の SELinux ポリシーを使用します。このポリシーは、画面がロックされている際には、確実にすべてのサムネイルドライバーがロックされるようにします。このサムネイル保護は、制限のあるユーザーと制限のないユーザーの両方に有効です。このポリシーは、以下のアプリケーションに影響します。
  • /usr/bin/evince-thumbnailer
  • /usr/bin/ffmpegthumbnailer
  • /usr/bin/gnome-exe-thumbnailer.sh
  • /usr/bin/gnome-nds-thumbnailer
  • /usr/bin/gnome-xcf-thumbnailer
  • /usr/bin/gsf-office-thumbnailer
  • /usr/bin/raw-thumbnailer
  • /usr/bin/shotwell-video-thumbnailer
  • /usr/bin/totem-video-thumbnailer
  • /usr/bin/whaaw-thumbnailer
  • /usr/lib/tumbler-1/tumblerd
  • /usr/lib64/tumbler-1/tumblerd

このページには機械翻訳が使用されている場合があります (詳細はこちら)。