Browser lässt sich auf X11-Server über das Netz ausführen

Firefox hat eine große Zahl an Kommandozeilenparametern. Unter Linux-Systemen bietet Firefox mittels des Parameters --display die Möglichkeit, den Browser auf einem entfernten X11-Server auszuführen. Der Hintergrund: Das unter Linux genutzte grafische System X11 ist netzwerkfähig und es ist möglich, eine Applikation auf einem System zu starten und die grafische Oberfläche auf einem anderen System anzuzeigen.

Stellenmarkt
  1. Leiter Programm-Management (m/w/d) für die unternehmensweite Einführung von Microsoft Dynamics ... (m/w/d)
    Bw Bekleidungsmanagement GmbH, Köln
  2. IT-Systemadministrator (m/w/d)
    VÖB-Service GmbH, Bonn
Detailsuche

Ein Angriff kann nun folgendermaßen stattfinden: Man verschickt eine HTML-Mail mit einem Link, der Firefox öffnet und dabei auf einem X11-Server anzeigt, der im Internet erreichbar ist. Der Server befindet sich dabei unter der Kontrolle der oder des Angreifenden. Nach einem Klick auf den Link kann der Browser auf dem Server gesteuert werden. Durch die Speichern-Funktion des Browsers können beliebige Dateien auf dem System abgelegt werden.

Datei im Autostart-Ordner ermöglicht Schadcodeausführung

Auf diese Weise die Ausführung von Code zu erreichen, ist nicht mehr schwierig. Beispielsweise kann man eine passende Datei im Autostart-Ordner des Opfers ablegen, sie wird dann beim nächsten Neustart oder einer Neuanmeldung ausgeführt. Damit kann man beispielsweise eine Backdoor installieren, über die das System des Opfers kontrolliert werden kann.

Claws Mail ist ein Fork des Programms Sylpheed, das ebenfalls betroffen ist. Allerdings wird dort standardmäßig nur xdg-open als Option angeboten, andere Programme müssten Nutzer manuell konfigurieren. Damit sind verwundbare Konfigurationen unwahrscheinlicher. Die Entwickler von Sylpheed haben auf die Meldung der Lücke nicht reagiert und von dem Programm gab es seit mehreren Jahren kein Update mehr.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

In Claws-Mail wurde die Lücke, welche die Kennung CVE-2021-33746 trägt, in den Claws-Versionen 3.18.0 und 4.0.0 geschlossen. Alle älteren Versionen sind verwundbar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Claws Mail: Code-Execution-Exploit über X11-Netzwerkprotokoll
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Elektromobilität
BMW gibt sich mit 600 Kilometern Reichweite zufrieden

Reichweite ist für BMW wichtig, aber nicht am wichtigsten. Eine Rekordjagd nach immer mehr Kilometern sehen die Entwickler nicht vor.

Elektromobilität: BMW gibt sich mit 600 Kilometern Reichweite zufrieden
Artikel
  1. Telekom: Vodafone will unseren Glasfaserausbau bremsen
    Telekom
    Vodafone will "unseren Glasfaserausbau bremsen"

    Vodafone habe den eigenen Glasfaserausbau kürzlich für beendet erklärt und nehme den Spaten nicht in die Hand, erklärte die Telekom.

  2. Chorus angespielt: Automatischer Arschtritt im All
    Chorus angespielt
    Automatischer Arschtritt im All

    Knopfdruck, Teleport hinter Feind, Abschuss: Das Weltraumspiel Chorus will mit Story, Grafik und Ideen punkten. Golem.de hat es angespielt.
    Von Peter Steinlechner

  3. Lightning ade: EU will USB-C als alleinige Handy-Ladebuchse vorschreiben
    Lightning ade  
    EU will USB-C als alleinige Handy-Ladebuchse vorschreiben

    Die EU-Kommission will eine einheitliche Ladebuchse einführen. USB-C soll zum Aufladen aller möglichen Kleingeräte verwendet werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 27" WQHD 144Hz 260,91€ • Alternate-Deals (u. a. Acer Nitro 27" FHD 159,90€) • Neuer Kindle Paperwhite Signature Edition vorbestellbar 189,99€ • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • PS5 Digital mit FIFA 22 bei o2 bestellbar [Werbung]
    •  /