Chrome/Gstreamer: Windows 10 sicherer als Linux-Desktops

Chrome speichert Dateien automatisch ab - und manche Linux-Distributionen verarbeiten die heruntergeladenen Dateien sofort mit extrem unsicherem Code von Gstreamer. Der Entdecker der Lücke meint, dass derart gravierende Schwächen zur Zeit in Windows nicht vorkommen.

Artikel veröffentlicht am , Hanno Böck
NES-Sounddateien als Sicherheitsrisiko? Das Multimediaframework Gstreamer unterstützt unzählige obskure Audioformate.
NES-Sounddateien als Sicherheitsrisiko? Das Multimediaframework Gstreamer unterstützt unzählige obskure Audioformate. (Bild: Yagamichega/Wikimedia Commons/CC-BY 3.0)

Sicherheitslücken im Code von Gstreamer können auf manchen Linux-Desktop-Systemen gravierende Auswirkungen haben. Das berichtet der IT-Sicherheitsexperte Chris Evans, der zurzeit für Tesla arbeitet. Eine Kombination von Verhaltensweisen des Chrome-Browsers und des Gnome-Tools Tracker führt unter Fedora dazu, dass Gstreamer direkt vom Browser aus angegriffen werden kann.

Dateien werden automatisch heruntergeladen

Stellenmarkt
  1. (Junior) Netzwerkadministrator Schwerpunkt Security (w/m/d)
    dmTECH GmbH, Karlsruhe
  2. Informationssicherheitsbeauf- tragter (m/w/d)
    Knappschaft Kliniken Service GmbH, Bochum
Detailsuche

Chrome speichert heruntergeladene Dateien direkt im Downloads-Ordner ab, ohne den Nutzer zu fragen. Alle dort abgespeicherten Dateien werden automatisch von Tracker erfasst. Tracker gehört zu Gnome und ist ein Tool für die Suche nach lokalen Dateien. Es extrahiert hierfür Metadaten und nutzt dafür die Multimediabibliothek Gstreamer. Gstreamer wiederum enthält eine große Menge an Decodern für Audio- und Videoformate.

Die Lücke, anhand derer Evans das Problem demonstriert, befindet sich in einem Codec für ein Format, welches das Programm VMware für Screen Captures verwendet. Dieses Format kann in AVI-Dateien eingebettet werden. Der Code im Codec berechnet den Speicherplatz für das Bild anhand der Höhe, Breite und Farbtiefe, prüft dabei jedoch nicht, ob das Ergebnis auch in einer Integervariablen Platz hat - ein typischer Integer Overflow. Dies führt wiederum zu einem Buffer Overflow auf dem Heap.

Die Beispieldatei, die Evans zur Verfügung stellt, führt lediglich zu einem Crash. Einen Exploit zu schreiben, wäre wohl relativ aufwendig, da Fedora ASLR (Address Space Layout Randomization) einsetzt, doch Evans ist sich sicher, dass ein Exploit machbar ist.

Zwei Decoder für NES-Sounddateien

Golem Akademie
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
Weitere IT-Trainings

Unabhängig von der konkreten Lücke dürfte das Problem jedoch deutlich größer sein. Erst kürzlich hatte Evans eine Sicherheitslücke im Parser für NSF-Dateien (NES Sound Format) gezeigt. Die betrifft zwar nur ältere Versionen von Gstreamer, allerdings kommen diese unter dem noch unterstützten Ubuntu 12.04 zum Einsatz. NSF-Dateien enthält Audiotracks für das Nintendo Entertainment System. Evans empfiehlt schlicht das Löschen des NSF-Decoders. Auswirkungen hat das praktisch keine, denn Gstreamer kann danach NSF-Dateien immer noch abspielen. Denn Gstreamer enthält gleich zwei Codecs für NSF-Dateien.

Gstreamer enthält unzählige Codecs für nahezu alle Audio- und Videoformate, die es je gab. Viele davon nutzen weitere Bibliotheken, die oft kaum oder überhaupt nicht mehr weiterentwickelt werden. Über die Qualität mancher dieser Codecs ist sich das Gstreamer-Projekt sehr bewusst. Die Codecs werden in verschiedene Kategorien unterteilt und in entsprechenden Plugin-Paketen gebundelt: Base, good, bad und ugly (Basis, gut, schlecht und hässlich). Beide von Evans entdeckten Sicherheitslücken befinden sich in Plugins, die Gstreamer als "bad" bezeichnet. Doch unabhängig von ihrer Qualität werden alle installierten Codecs von Programmen, die Gstreamer nutzen, üblicherweise automatisch gewählt, wenn eine entsprechende Datei vorliegt.

Evans macht verschiedene Vorschläge, wie man das Problem begrenzen könnte. Chrome fällt mit seinem Verhalten des automatischen Speicherns von Downloaddateien aus der Reihe, andere Browser fragen den Nutzer üblicherweise vorher, ob er einen Download abspeichern will. Nutzer können diese Einstellung jedoch manuell ändern. Für die Tracker-Funktionalität bietet sich laut Evans eine Sandbox an. Als Workaround können Nutzer den Downloads-Ordner von Tracker ausschließen.

Evans beendet seinen Blogpost mit einem Aufruf an die Linux-Desktop-Entwickler, sich mehr um Sicherheit zu kümmern. Es sei bedenklich, dass sich in einer Standard-Desktop-Konfiguration unter Linux so einfach eine so schwerwiegende Memory-Corruption-Lücke finden lässt. "Das ist nicht die Art von Situation, die unter einer aktuellen Windows-10-Standardinstallation vorkommt."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


jajagreat 21. Nov 2016

"Chrome speichert heruntergeladene Dateien direkt im Downloads-Ordner ab, ohne den Nutzer...

Wurzelgnom 19. Nov 2016

Bei Ubuntu 16.10: gst-plugins-bad1.0 (1.8.3-1ubuntu1.1) yakkety-security; urgency...

Rulf 18. Nov 2016

nur kann man mit solchen rudimentären krücken nicht mehr viel anfangen... kein vergleich...

FedoraUser 18. Nov 2016

meep - falsch. Im Artikel wird Fedora genannt und auf meiner Fedora installation war...

Truster 18. Nov 2016

Doch. Unter Einstellungen, Downloads: "Vor dem Download von Dateien nach dem Speicherort...



Aktuell auf der Startseite von Golem.de
Open-Source-Sprachassistent Mycroft
Basteln mit Thorsten statt Alexa

Das US-Unternehmen Mycroft AI arbeitet an einem Open-Source-Sprachassistenten. Die Alexa-Alternative ist etwas für lange Winterabende.
Ein Praxistest von Thorsten Müller

Open-Source-Sprachassistent Mycroft: Basteln mit Thorsten statt Alexa
Artikel
  1. Hosting: Hetzner erhöht Preise teils um 30 Prozent wegen Stromkosten
    Hosting
    Hetzner erhöht Preise teils um 30 Prozent wegen Stromkosten

    Die Server aus seiner Auktion kann der Hoster Hetzner offenbar nicht kostendeckend betreiben. Das könnte die ganze Branche betreffen.

  2. Pwnkit: Triviale Linux-Lücke ermöglicht Root-Rechte
    Pwnkit
    Triviale Linux-Lücke ermöglicht Root-Rechte

    Zum Ausnutzen der Sicherheitslücke in Polkit muss der Dienst nur installiert sein. Das betrifft auch Serversysteme. Exploits dürften schnell genutzt werden.

  3. Musterfeststellungsklage: Parship kann eine Kündigungswelle erwarten
    Musterfeststellungsklage
    Parship kann eine Kündigungswelle erwarten

    Die Verbraucherzentrale ruft zur Kündigung bei Parship und zur Teilnahme an einer Musterfeststellungsklage auf. Doch laut Betreiber PE Digital ist das aussichtslos.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 Ti 8GB 1.039€ • 1TB SSD PCIe 4.0 127,67€ • RX 6900XT 16 GB 1.495€ • Razer Gaming-Tastatur 155€ • LG OLED 65 Zoll 1.599€ • Alternate (u.a. Razer Gaming-Maus 39,99€) • RX 6800XT 16GB 1.229€ • Thrustmaster Ferrari Lenkrad 349,99€ • Razer Gaming-Stuhl 179,99€ • MS 365 Family 54,99€ [Werbung]
    •  /