Browser lässt sich auf X11-Server über das Netz ausführen

Firefox hat eine große Zahl an Kommandozeilenparametern. Unter Linux-Systemen bietet Firefox mittels des Parameters --display die Möglichkeit, den Browser auf einem entfernten X11-Server auszuführen. Der Hintergrund: Das unter Linux genutzte grafische System X11 ist netzwerkfähig und es ist möglich, eine Applikation auf einem System zu starten und die grafische Oberfläche auf einem anderen System anzuzeigen.

Ein Angriff kann nun folgendermaßen stattfinden: Man verschickt eine HTML-Mail mit einem Link, der Firefox öffnet und dabei auf einem X11-Server anzeigt, der im Internet erreichbar ist. Der Server befindet sich dabei unter der Kontrolle der oder des Angreifenden. Nach einem Klick auf den Link kann der Browser auf dem Server gesteuert werden. Durch die Speichern-Funktion des Browsers können beliebige Dateien auf dem System abgelegt werden.

Datei im Autostart-Ordner ermöglicht Schadcodeausführung

Auf diese Weise die Ausführung von Code zu erreichen, ist nicht mehr schwierig. Beispielsweise kann man eine passende Datei im Autostart-Ordner des Opfers ablegen, sie wird dann beim nächsten Neustart oder einer Neuanmeldung ausgeführt. Damit kann man beispielsweise eine Backdoor installieren, über die das System des Opfers kontrolliert werden kann.

Claws Mail ist ein Fork des Programms Sylpheed, das ebenfalls betroffen ist. Allerdings wird dort standardmäßig nur xdg-open als Option angeboten, andere Programme müssten Nutzer manuell konfigurieren. Damit sind verwundbare Konfigurationen unwahrscheinlicher. Die Entwickler von Sylpheed haben auf die Meldung der Lücke nicht reagiert und von dem Programm gab es seit mehreren Jahren kein Update mehr.

In Claws-Mail wurde die Lücke, welche die Kennung CVE-2021-33746 trägt, in den Claws-Versionen 3.18.0 und 4.0.0 geschlossen. Alle älteren Versionen sind verwundbar.