Quelle: Linux
Verschiedene Fehler in Linux ermöglichen Angriffe
Gerade wurden zwei schwerwiegende Lücken in Linux bekannt, welche Hackern das Einschmuggeln von Code sowie das Ausführen von Programmen ermöglichen sollen.
20. Dezember 2016
Der Sicherheitsexperte Donncha O'Cearbhaill hat eine Linux-Sicherheitslücke gefunden, welche es erlauben soll, Schadcode in das System zu schmuggeln und auszuführen. Als Portal für den Schadcode kann der Crash-Reporter von Ubuntu benutzt werden, welcher eigentlich nach einem Systemabsturz diverse Informationen anzeigen und so die Suche nach dem Fehler erleichtern sollte. Um die Schadsoftware auf Ubuntu zu platzieren, wird eine gefälschte .crash-Datei benötigt, welche automatisch vom Crash-Reporter geöffnet wird und somit auch gleich den Schadcode ausführt. Unter anderem sollen durch gefälschte .crash-Dateien auch Root-Zugriffe auf Ubuntu erlangt werden können. Die Lücke findet sich in allen Ubuntu-Versionen seit der Ausgabe 12.10, soll aber mit dem neuesten System-Update bereits behoben worden sein.
Darüber hinaus wurde bekannt, dass ein Leck im Audio-File einer alten Nintendo-Emulation ebenfalls ein Sicherheitsrisiko für die Linux-Distributionen Fedora 25 und Ubuntu darstellt. Gemäss dem Sicherheitsforscher Chris Evans geht es um eine Lücke in der Software Game Music Emulation und Libgme, über welche Audio-Files aus älteren Spielkonsolen auf Linux emuliert werden können. Die Audio-Dateien kommen im ursprünglichen SPC-Format, das früher beispielsweise im Super Nintendo Entertainment System zum Einsatz kam. Der Angreifer muss lediglich die Endung dieser Datei von .spc auf .flac oder .mp3 ändern und das potentielle Opfer dazu bringen, die Datei auszuführen. Somit wird beispielsweise eine Webpage oder ein Programm geöffnet. Anschliessend sollen Angreifer die Möglichkeit haben, jeden beliebigen Code auf dem System auszuführen. (asp)
Darüber hinaus wurde bekannt, dass ein Leck im Audio-File einer alten Nintendo-Emulation ebenfalls ein Sicherheitsrisiko für die Linux-Distributionen Fedora 25 und Ubuntu darstellt. Gemäss dem Sicherheitsforscher Chris Evans geht es um eine Lücke in der Software Game Music Emulation und Libgme, über welche Audio-Files aus älteren Spielkonsolen auf Linux emuliert werden können. Die Audio-Dateien kommen im ursprünglichen SPC-Format, das früher beispielsweise im Super Nintendo Entertainment System zum Einsatz kam. Der Angreifer muss lediglich die Endung dieser Datei von .spc auf .flac oder .mp3 ändern und das potentielle Opfer dazu bringen, die Datei auszuführen. Somit wird beispielsweise eine Webpage oder ein Programm geöffnet. Anschliessend sollen Angreifer die Möglichkeit haben, jeden beliebigen Code auf dem System auszuführen. (asp)
Weitere Artikel zum Thema
Yahoo gibt weiteren Hackerangriff bekannt
15. Dezember 2016 - Nachdem Yahoo bereits im Sommer einen Diebstahl von 500 Millionen Nutzerdaten bekannt geben musste, wurde nun ein neuer Fall publik gemacht. Bei einem Hackerangriff 2013 soll Yahoo eine Milliarde Nutzerdaten verloren haben.DDOS-Angriff: Twitter, Airbnb, Paypal lahmgelegt
24. Oktober 2016 - Hacker haben den Webdienstleister Dyn angegriffen. Dadurch kam es bei mehreren bekannten Internetdiensten während einiger Stunden zu erheblichen Störungen.Marokkanische Hacker stehen in der Schweiz vor Gericht
18. Oktober 2016 - Weil sie über 133'610 Kreditkarten-Datensätze erbeutet haben, stehen drei Marokkaner vor dem Bundesstrafgericht in Bellinzona. Der Fall ist in seiner Art der erste in der Schweiz und soll ein Exempel statuieren.Kommentare
Zwei Distributionsabhängige Lücken in zwei "Anwendungsprogrammen". Wo sind denn jetzt die im Titel angekündigten Lücken in Linux?Dienstag, 27. Dezember 2016, Andreas Pfister
Artikel kommentieren
