‘Linux’-Schwachstelle per Webseite angreifbar

Publiziert am 18. November 2016 von Günter Born

Es ist eine neue Sicherheitslücke in Linux-Desktop-Distributionen bekannt geworden, die Fedora, aber auch Ubuntu (und weitere Distros wie Debian) bedroht. Eine Zero-Day-Lücke ermöglicht es, Linux beim Besuch einer präparierten Webseite per Google Chrome-Browser anzugreifen. Es ist aber eine recht exotische Kombination von lausig implementierten Voreinstellungen, Fehlern in Bibliotheken und einem Media-Plugin und einem selbst vom Benutzer installierten Chrome-Browser – hat im Grunde also mit Linux als Kernel nichts zu tun. Hier ein paar Informationen.

Anzeige

Linux scheint sicherheitstechnisch immer mehr kaputt zu gehen. Vor Tagen hatte ich im Beitrag Linux-Sicherheitslücke in LUKS disk encryption von einer Sicherheitslücke berichtet, wo Angreifer durch häufiges Drücken der Eingabetaste die Festplattenverschlüsselung aushebeln und root-Rechte per BusyBox erlangen konnten.

Exotische Sicherheitslücke

Jetzt hat der bei Tesla angestellte Sicherheits-Experte Chris Evans eine weitere, gravierende Zero-Day-Lücke aufgedeckt. Es gibt eine Integer-Überlauf-Schwachstelle im vmnc-Decorder des Medien-Framework gstreamer. Dieses wird normalerweise genutzt, um Bildschirmaufzeichnungen der Virtualisierungs-Software VMware wiederzugeben. Evans beschreibt in diesem Blog-Beitrag aber eine fatale Sicherheitslücke und liefert einen Exploit:

  • Ist der Chrome-Browser vom Benutzer installiert, lädt dieser automatisch Dateien auf den Desktop, ohne beim Nutzer nachzufragen.

  • Die Tracker-Software in der Linux-Distribution Fedora indiziert die heruntergeladenen Dateien und fügt Sie zu den Media-Dateien hinzu. Der Nutzer braucht also die Downloads nicht zu öffnen, damit diese vom Linux-Desktop "angefasst" werden.

  • Das gstreamer-Framwork behandelt Mediendateien auf dem Fedora-Desktop aus Sicherheitsaspekten in äußerst fragwürdiger Weise. Die Tracker-Komponente, die für das Parsen der Media-Dateien verantwortlich ist, läuft nicht in einer Sandbox oder in SELinux.

In Fedora (und in Ubuntu) kommt die vmnc-Decoder für dieses Tracking zum Einsatz. Damit reicht es, eine Webseite mit einem Exploit zu präparieren und dafür zu sorgen, dass eine Datei mit dem Exploit vom Google Chrome heruntergeladen wird. Den Rest besorgt dann der oben skizzierte Automatismus in Fedora und Ubuntu. Der Tracker stürzt mit dem Integer-Überlauf ab.

Chrome Problem
(Quelle: Chris Evans)

Anzeige

Laut Evens ist es einem Angreifer möglich (wenn auch schwierig), einen Exploit zu entwickeln und diesen für eigene Zwecke zu nutzen. Diese Lücke lässt sich in den Google Chrome-Einstellungen entschärfen, indem der Browser angewiesen wird, bei Downloads explizit beim Nutzer nachzufragen. Und die Indexierung der Dateien durch den Tracker kann deaktiviert werden. Evens stellt aber berechtigt die Frage, ob die "Sicherheit von Linux auf dem Desktop nicht verrottet ist" und merkt an, dass eine Standard-Installation von Windows 10 solche Kardinalfehler nicht aufweise.

Bei Interesse lassen sich weitere Informationen in diesem deutschsprachigen Artikel von heise.de nachlesen. In den Kommentaren bei heise.de wird aber berechtigt darauf hingewiesen (siehe hier), dass die hier beschriebene Lücke kein Linux-Problem sei, sondern auf "Zugaben" in Form des Google Chrome und der verwendeten Bibliotheken auf das System geholt werde. Problem ist, dass Linux eigentlich nur den Kernel meint, Evan aber das "Linux-Desktop-System" mit seinen Voreinstellungen und Benutzerergänzungen als "Linux Sicherheitsproblem" betitelt. Aber, in diesem Kommentar wird auch klar, dass Debian mit Pidgin ebenfalls betroffen ist. Ein ergänzender Artikel zum Thema, allerdings mit dem reißerischen Titel Windows 10 sicherer als Linux-Desktops, findet sich bei Golem.

Ähnliche Artikel:
Linux-Sicherheitslücke in LUKS disk encryption
Zombie: Flash unter Linux "wiederbelebt"?
FairWare, die Ransomware für dein Linux
Linux-Bug setzt 1,4 Milliarden Android-Geräte Angriffen aus
Windows 10: Sicherheitsrisiken durch Linux-Kernel

Anzeige
Dieser Beitrag wurde unter Linux, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu ‘Linux’-Schwachstelle per Webseite angreifbar

  1. Ralph sagt:
    18. November 2016 um 09:02 Uhr

    "Linux scheint sicherheitstechnisch immer mehr kaputt zu gehen." Diese Aussage von Dir, mein lieber Günter, hat allerhöchstens Bild-Niveau, mehr aber auch nicht. Und das ist sehr schade.

    Antworten
  2. Blupp sagt:
    18. November 2016 um 10:08 Uhr

    Ob exotisch oder nicht, eigentlich wars vorhersehbar und auch nicht das erste Problem in Linux.
    Linux ist natürlich nicht sicher weil es Linux ist. Im Grunde ist es ebenso sicher oder unsicher wie andere OS. Der Unterschied ist die geringere Verbreitung von Linux die es nicht lohnenswert erscheinen lässt viel Energie in die Ausnutzung von Sicherheitslücken zu investieren.
    Wenn Linux eine größere Verbreitung erreicht, werden sich auch mehr Kriminelle mit Linux und darauf laufender Software beschäftigen. Ich hoffe nur, dass dann die Entwickler entsprechend reagieren werden.
    Die Erfahrung sagt leider, dass manche unter Linux laufende Software nicht ausgereift ist und da liegt wohl ein großer Problembär.

    Antworten
  3. Holger K. sagt:
    18. November 2016 um 22:25 Uhr

    Ich kann eigentlich nur immer sagen, dass ein Betriebssystem, das nicht von Anfang an mit Hinblick auf Sicherheit entwickelt wird, immer Sicherheitslücken aufweisen wird. Und da Linux nicht nur aus dem Kernel besteht und die anderen Komponenten aus einer Vielzahl von unterschiedlichen Projekten stammen, darf man sich nicht wundern, dass solch ein Fall wie hier auftritt.

    Was mich aber besorgt macht, ist, wie Günter so schön schreibt, die lausige Implementierung einiger Features in nicht direkt zum Betriebssystem zugehörigen Komponenten. Da scheint die Qualität nicht zu stimmen. Ob man das nun den Maintainern anlasten darf, kann ich hier nicht sagen, dazu bin ich nicht genug mit der Materie bewandert.

    Wir dürfen aber hier nie vergessen, dass die meisten Projektmaintainer nicht für ihre Arbeit bezahlt werden, sondern das immer noch in ihrer Freizeit machen.

    Antworten
  4. Al CiD sagt:
    19. November 2016 um 12:46 Uhr

    Na ja, Linux ist "nur" ein Teil einer Distribution, der ursprüngliche Kernel.
    Alles andere, was unter Linux verstanden wird, ist und bleibt eine auf Linux basierende Distribution…

    Unterm Strich ist es doch so, wie in Windows auch: die Automatismen und die systemnahe Programme hebeln einige der Sicherheitsaspekte im Betriebssystem aus, wissentlich oder unwissentlich, meist dem Komfort des Benutzers zuliebe.

    Die generelle Struktur eines auf Unix/Linux basiertem System kann man schon als extrem sicher bezeichnen, da es von jeher als Multiusersystem konzipiert wurde mit sehr fein gehaltener Rechtevergabe.

    Dass Software (von Menschen gemacht, also nicht perfekt…) auch Fehler beinhalten kann liegt in der Natur der Sache, zumeist sie sich oft auf externe, grundlegende Software/Module anderer basiert.

    Antworten
  5. der_Puritaner sagt:
    19. November 2016 um 14:37 Uhr

    Na ja über diverse Browser sind fast alle Systeme angreifbar
    https://www.heise.de/security/meldung/Schutz-vor-Freak-Attack-Diese-Browser-sind-betroffen-2567655.html
    das geht nicht nur Linux, Windows oder Apple so!

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.