概要：InputPlumberの深刻な脆弱性発覚

セキュリティ研究者らは、SteamOSで使用されているLinuxの入力デバイスユーティリティ「InputPlumber」に、攻撃者がキーストロークの注入、機密情報の漏洩、サービス拒否（DoS）状態を引き起こす可能性のある深刻な脆弱性を発見しました。これらの脆弱性は「CVE-2025-66005」と「CVE-2025-14338」として追跡されており、InputPlumberのv0.69.0より前のバージョンに影響を与えます。

脆弱性の詳細

この脆弱性は、D-Bus認証チェックの不備に起因します。InputPlumberはLinuxの入力デバイスを仮想コントローラーに統合し、フルルート権限で実行されるため、これらの脆弱性は特に深刻です。悪意のあるユーザーは、以下の2つの危険なD-Busメソッドを悪用する可能性があります。

• CVE-2025-66005: InputManager D-Busインターフェースにおける認証の欠如
  　影響バージョン：v0.63.0より前のバージョン
  　影響：ローカルでのDoS、情報漏洩、権限昇格
  　具体的には、CreateCompositeDeviceメソッドがファイルパスの適切な検証なしに受け入れるため、攻撃者は制限されたファイルの存在をテストしたり、/dev/zeroからの読み込みによってメモリを枯渇させたり、/root/.bash_historyのようなファイルから機密データを漏洩させたりすることが可能です。
• CVE-2025-14338: Polkit認証のデフォルト無効化と競合状態
  　影響バージョン：v0.69.0より前のバージョン
  　影響：認証バイパス、CVE-2025-66005と同様の影響
  　より重大なのは、CreateTargetDeviceメソッドが仮想キーボードデバイスの作成を許可するため、攻撃者はアクティブなユーザーセッションに任意のキーストロークを注入し、ログインユーザーとしてコマンドを実行する可能性があります。これにより、ユーザーアカウントの完全な侵害やデータ窃盗につながる恐れがあります。

これらの脆弱性は、脆弱なバージョンのInputPlumberを実行しているLinuxディストリビューション、特にSteamOSに影響します。サービスはルート権限で実行され、約10のインターフェースにわたって約90のD-Busプロパティを公開しており、攻撃対象領域を拡大させています。

対策と推奨事項

InputPlumberバージョンv0.69.0では、以下の変更によってほとんどの問題が対処されています。

• セキュアな「system bus name」Polkitサブジェクトへの切り替え
• Polkit認証のデフォルトでの有効化
• systemdのハードニングパラメータの適用

SteamOSはこれらの修正を含むバージョン3.7.20をリリースしています。ユーザーは直ちにアップデートを適用することが強く推奨されます。システム管理者も、InputPlumberがv0.69.0以降に更新されていることを確認し、適切な認証要件が維持されているかPolkitポリシーを見直すべきです。

これらの脆弱性は、SUSEのセキュリティレビュー中に発見され、上流開発者との調整された開示を通じて公開されました。

元記事: https://gbhackers.com/critical-inputplumber-flaw-enables-ui-input-injection/