4.16. サムネイルの保護
サムネイルアイコンを使用すると、USB デバイスや CD などのリムーバブルメディアを使用して攻撃者がロックされたマシンに侵入できる可能性があります。システムがリムーバブルメディアを検出すると、Nautilus ファイルマネージャーがサムネイルドライバーコードを実行し、マシンがロックされていても、適切なファイルブラウザーにサムネイルアイコンを表示します。サムネイルの実行ファイルが脆弱であれば、攻撃者はサムネイルのドライバーコードを使用してパスワードを入力しなくてもロック画面を回避できるため、この動作は安全ではありません。
したがって、このような攻撃を防ぐために、新しい SELinux ポリシーが使用されています。このポリシーにより、画面のロック時に、すべてのサムネールドライバーがロックされます。サムネイル保護は、制限のあるユーザーと制限のないユーザーの両方で有効になります。このポリシーは、次のアプリケーションに影響します。
- /usr/bin/evince-thumbnailer
- /usr/bin/ffmpegthumbnailer
- /usr/bin/gnome-exe-thumbnailer.sh
- /usr/bin/gnome-nds-thumbnailer
- /usr/bin/gnome-xcf-thumbnailer
- /usr/bin/gsf-office-thumbnailer
- /usr/bin/raw-thumbnailer
- /usr/bin/shotwell-video-thumbnailer
- /usr/bin/totem-video-thumbnailer
- /usr/bin/whaaw-thumbnailer
- /usr/lib/tumbler-1/tumblerd
- /usr/lib64/tumbler-1/tumblerd