Després de poc més de quatre anys de l'últim llançament, s'ha donat a conèixer la nova versió de «NTFS-3G 2021.8.22» que inclou un controlador de codi obert que opera a l'espai de l'usuari que utilitza el mecanisme FUSE i un conjunt d'utilitats ntfsprogs per manipular particions NTFS.
El controlador admet la lectura i escriptura de dades en particions NTFS i pot executar-se en una àmplia gamma de sistemes operatius compatibles amb FUSE, inclosos Linux, Android, macOS, FreeBSD, NetBSD, OpenBSD, Solaris, QNX i Haiku.
La implementació proporcionada pel controlador de sistema de fitxers NTFS és totalment compatible amb Windows XP, Windows Server 2003, Windows 2000, Windows Vista, Windows Server 2008, Windows 7, Windows 8 i Windows 10. El conjunt d'utilitats ntfsprogs permet poder realitzar operacions com la creació de particions NTFS, verificació d'integritat, clonació, canvi de mida i recuperació d'arxius eliminats. Els components comuns per treballar amb NTFS utilitzats al controlador i les utilitats s'han mogut a una biblioteca separada.
Principals novetats de NTFS-3G 2021.8.22
El llançament d'aquesta nova versió de NTFS-3G 2021.8.22 es destaca per corregir 21 vulnerabilitats de les quals diverses d'elles poden permetre que un atacant que utilitzi un arxiu d'imatge amb format NTFS creat amb fins malintencionats o un emmagatzematge extern que pugui executar codi privilegiat arbitrari si l'atacant té accés local i el binari ntfs-3g és setuid root, o si l'atacant té accés físic a un port extern a un ordinador que està configurada per executar el binari ntfs-3g o una de les eines ntfsprogs quan l'emmagatzematge extern està connectat a l'ordinador.
aquestes vulnerabilitats són el resultat d'una validació incorrecta d'alguns de les metadades de NTFS que podrien causar desbordaments de memòria intermèdia, que un atacant podria aprofitar. Les formes més comuns que els atacants obtinguin accés físic a una màquina és a través de l'enginyeria social o un atac en un ordinador desatesa.
les vulnerabilitats van ser catalogades sota els següents CVE: CVE-2021-33285, CVE-2021-35269, CVE-2021-35268, CVE-2021-33289, CVE-2021-33286, CVE-2021-35266, CVE-2021-33287, CVE-2021-35267, CVE -2021-39251, CVE-2021-39252, CVE-2021-39253, CVE-2021-39254, CVE-2021-39255, CVE-2021-39256, CVE-2021-39257, CVE-2021-39258, CVE- 2021 -39259, CVE-2021-39260, CVE-2021-39261, CVE-2021-39262, CVE-2021-39263
I les puntuacions van ser de la més baixa 3.9 fins a la més alta 6.7, amb la qual cosa cap de les vulnerabilitats que van ser resoltes estar marcada com a alta i que hagués de tenir una ràpida atenció.
D'altra banda, dels canvis que no són relacionats amb la seguretat en NTFS-3G 2021.8.22, podrem trobar ara la fusió de les bases de codi de les edicions estesa i estable de NTFS-3G, amb la transferència de el desenvolupament de el projecte a GitHub. A més, aquesta nova versió també inclou correccions d'errors i problemes de compilació amb versions anteriors de libfuse.
Per separat, els desenvolupadors van analitzar els comentaris sobre el baix rendiment de NTFS-3G i l'anàlisi va mostrar que els problemes de rendiment estan associats per regla general, amb el lliurament de versions desactualitzades de el projecte en distribucions o l'ús de configuracions predeterminades incorrectes, Com ara el muntatge sense l'opció «big_writes», sense la qual la velocitat de transferència d'arxius disminueix 3-4 vegades.
Segons les proves realitzades per l'equip de desenvolupament, el rendiment de NTFS-3G està per darrere de ext4 només en un 15-20%.
Finalment també val a dir que fa ja diverses setmanes Linus Torvalds li va demanar a Paragon Software que enviés el codi per fusionar el seu nou controlador NTFS. En aquest llavors es tenia pensant que el controlador podria agregar-se en Linux 5.14-rc2, cosa que no va succeir, però si estarà sent integrat en la versió de Linux 5.15
Això va ser a causa que per tenir accés complet a les particions NTFS des de la Linux, s'havia de fer servir el controlador FUSE NTFS-3g, Que s'executa en l'espai de l'usuari i no proporciona el rendiment desitjat.
Tot semblava anar per Paragon, però fa pocs dies, a Linus Torvalds no li agradi la forma en què Paragon va enviar el missatge de confirmació per a la fusió de el codi en el nucli, per la qual cosa llanço una sèrie de comentaris criticant aquesta situació. Si vols conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.
font: https://sourceforge.net/