DeafNews
// 1 ZERO-DAY · 3 CVE · 2 EXPLOIT NELLE ULTIME 24H
Linux CRITICAL

ZDI-26-360: RCE in Atril MATE via EPUB, fix 1.26.4

Published: Updated: By DeafSuite team 7 min read Linux
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Heap overflow nel parser EPUB di Atril (MATE Desktop) permette esecuzione remota. Patch già disponibile in atril 1.26.4, disclosure coordinata ZDI oggi.

Il programma Atril Document Viewer, componente standard del desktop environment MATE per Linux, contiene una vulnerabilità di heap-based buffer overflow nel parsing dei file EPUB che consente l'esecuzione di codice remota. La Zero Day Initiative di Trend Micro ha pubblicato oggi, 11 giugno 2026, l'advisory coordinato ZDI-26-360, associato al CVE CVE-2026-52849. La falla è già stata corretta: il merge della patch risale al 2 giugno e la versione atril 1.26.4, rilasciata per coprire anche le distribuzioni che non portano il ramo 1.28, include il fix.

Punti chiave
  • ZDI-26-360 / CVE-2026-52849: heap overflow nel parsing XML EPUB di Atril, con conseguente RCE tramite file malevolo
  • Interazione utente richiesta: l'attacco si attiva aprendo un EPUB malizioso o visitando una pagina che lo scarichi automaticamente
  • Patch verificabile e rilasciata: PR #700 su GitHub sostituisce il loop di copia unsafe con g_strndup; merge il 2 giugno, release atril 1.26.4 con fix incluso
  • Target insidioso: ambienti desktop Linux tradizionali in uso presso istituzioni, scuole e organizzazioni che preferiscono MATE per leggerezza e stabilità

Il difetto: copia byte-by-byte senza controllo di lunghezza

Il bug risiede nel modo in cui Atril estrae il percorso dai attributi XML del container EPUB. L'advisory ZDI descrive il meccanismo con precisione:

"The specific flaw exists within the parsing of XML attributes within epub files. The issue results from the lack of proper validation of the length of user-supplied data prior to copying it to a heap-based buffer." — ZDI-26-360 advisory

Il codice vulnerabile eseguiva una copia manuale byte-by-byte del valore dell'attributo full-path in un buffer allocato sull'heap, senza verificare che la lunghezza effettiva rientrasse nei limiti previsti. Un file EPUB con path artificiosamente lungo sovrascrivesse memoria adiacente, aprendo la strada a un exploit di tipo heap overflow e, conseguentemente, a esecuzione di codice arbitrario nel contesto del processo Atril.

La ZDI classifica la vulnerabilità come RCE (Remote Code Execution), sebbene richieda l'apertura del documento da parte dell'utente. Questo vettore — un e-book che sembra legittimo — è particolarmente efficace perché i file EPUB sono routinariamente scambiati e percepiti come benigni, a differenza di eseguibili o macro Office.

La patch: da loop manuale a g_strndup con limiti sicuri

La correzione è stata sviluppata pubblicamente su GitHub nel pull request #700, aperto dal maintainer vkareh. La modifica è chirurgica: 22 aggiunte e 12 rimozioni. Il cuore del cambiamento è descritto nel commit:

"Replace manual byte-by-byte copy loop with g_strndup when extracting the directory component from the epub container's full-path attribute" — vkareh, PR #700

La sostituzione di un ciclo di copia manuale con g_strndup — funzione della GLib che duplica una stringa con limite esplicito di lunghezza — elimina la superficie di attacco introducendo un vincolo dimensionale intrinseco. Oltre alla sostituzione della routine di copia, la patch aggiunge un controllo di esistenza del file prima del parsing, riducendo ulteriormente la possibilità di manipolazioni del path.

Il review nel PR ha confermato l'efficacia del fix con un test case concreto. L'utente lukefromdc ha verificato che il file test_longpath.epub, che con il codice master causava malloc error e crash della GUI, veniva ora gestito senza schermata: Atril si avviava normalmente e semplicemente rifiutava di aprire il documento malformato. Questo dimostra che la patch blocca sia il crash che il vettore di exploitation.

Timeline e coordinazione della disclosure

La gestione della vulnerabilità segue il modello di coordinated disclosure. Secondo l'advisory ZDI, la segnalazione al vendor è avvenuta il 20 maggio 2026; la pubblicazione pubblica, con patch già integrata, è stata calendarizzata per l'11 giugno 2026. Questo intervallo di tre settimane ha permesso al team MATE di preparare, testare e rilasciare la correzione prima della divulgazione.

La versione atril 1.26.4 è stata rilasciata esplicitamente per includere il fix nelle distribuzioni che mantengono il ramo stabile 1.26, come ha dichiarato vkareh nel PR: "I just released 1.26.4 with these changes included due to some distros not shipping 1.28". Questo dettaglio è rilevante per gli amministratori di sistema che gestiscono parchi macchine con versioni conservative del desktop environment.

Cosa fare adesso

  • Aggiornare atril alla versione 1.26.4 o successiva, disponibile nei repository ufficiali MATE e nelle distribuzioni che hanno già integrato il backport
  • Verificare la versione installata con atril --version o tramite il package manager di sistema; le build pre-2-giugno del ramo master sono vulnerabili
  • Trattare i file EPUB ricevuti via email o download con la stessa cautela riservata ad altri allegati eseguibili, data la possibilità di RCE all'apertura
  • Monitorare gli aggiornamenti della propria distribuzione Linux se si usa MATE in ambiente enterprise o istituzionale: la gravità della falla giustifica la priorità del patching

Perché Atril, non Evince: la superficie dimenticata dei desktop tradizionali

La scoperta di una RCE nel viewer EPUB di MATE riporta l'attenzione su un ecosistema spesso trascurato. GNOME e il suo Evince monopolizzano la copertura mediatica del desktop Linux, ma MATE rimane la scelta di default in numerose distribuzioni conservative — da Linux Mint MATE a sistemi enterprise, scolastici e governativi che privilegiano stabilità e footprint ridotto. Atril, fork di Evince nato con il progetto MATE, eredita una codebase matura ma non immune a difetti di parsing nei formati documento complessi.

L'EPUB, in particolare, è un formato ZIP-based che incapsula XML, CSS, font e risorse multimediali. La complessità del parsing — container, manifest, spine, metadati — crea superficie di attacco significativa anche in applicazioni desktop apparentemente passive. Il fatto che la vulnerabilità richieda l'apertura manuale del file non ne sminuisce la gravità: l'ingegneria sociale su documenti elettronici è consolidata, e gli EPUB sono distribuiti attraverso canali — email, web, store — che normalizzano il loro passaggio.

Il record CVE-2026-52849 è attualmente in stato reserved presso il CNA assegnatario; i dettagli completi non sono ancora popolati nel database MITRE. L'advisory ZDI non riporta un punteggio CVSS esplicito nel testo, sebbene la descrizione tecnica — RCE via heap overflow con interazione utente — suggerisca una severità elevata. Non emergono sovrapposizioni infrastrutturali che colleghino questa scoperta ad attività in-the-wild allo stato attuale, ma la patch precoce e la disclosure coordinata hanno prevenuto una finestra di esposizione significativa.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Altri contenuti collegati

  • Kemp LoadMaster: RCE pre-auth CVSS 9.8, patch urgente
  • ZDI-26-336: bug X.Org espone dati, abilita escalation a root
  • Adobe USD: heap overflow in plugin GLTF permette RCE remoto

Fonti

Fonti e riferimenti
  1. zerodayinitiative.com
  2. cve.org
  3. github.com
  4. trendmicro.com