Ein Klick reicht: Schwachstelle gefährdet Linux-Systeme mit Gnome-Desktop

Der Sicherheitsforscher Kevin Backhouse hat eine Speicherkorruptionsschwachstelle in der quelloffenen Libcue-Bibliothek aufgedeckt, die es Angreifern ermöglicht, auf Linux-Systemen mit dem Gnome-Desktop bösartigen Code auszuführen. Die Bibliothek wird dem Bericht des Forschers zufolge zum Parsen sogenannter Cuesheets verwendet, einem Metadatenformat zur Beschreibung des Layouts der Tracks auf einer CD.

Libcue kommt unter anderem in der Suchmaschine Tracker-Miners zum Einsatz, die standardmäßig in der auf Linux-Systemen weitverbreiteten Gnome-Desktop-Umgebung enthalten ist.

Der Index der Suchmaschine werde automatisch aktualisiert, wenn im Home-Verzeichnis des Nutzers Dateien geändert oder hinzugefügt werden, erklärte der Forscher. Das wiederum reiche bereits aus, um die als CVE-2023-43641 registrierte Schwachstelle in Libcue auszunutzen und beliebigen Code auszuführen.

Ein einziger falscher Klick reicht aus

Ein Angreifer muss demnach lediglich über eine bösartige Webseite eine spezielle .cue-Datei bereitstellen, die von Anwendern heruntergeladen und im Download-Ordner gespeichert wird. Anschließend verwendet Tracker-Miners automatisch Libcue, um die Datei zu analysieren, woraufhin darin eingebetteter Schadcode ausgeführt wird.

Die Art und Weise, wie Libcue von Tracker-Miners verwendet werde, erlaube dank CVE-2023-43641 auf Systemen mit Gnome die Ausführung von Schadcode mit nur einem einzigen Klick, erklärte Backhouse. Er demonstrierte dies in einem kurzen Video, das beispielsweise auf X zu finden ist und in dem er die Schwachstelle ausnutzt, um eine Taschenrechner-App aufzurufen.

"Wenn Sie Gnome nutzen, aktualisieren Sie bitte noch heute", warnte der Forscher in seinem Bericht. Für viele gängige Linux-Distributionen wie Debian oder Ubuntu sind bereits Patches verfügbar.

Vollständiger Exploit kommt später

Die Veröffentlichung eines vollständigen Proof-of-Concept-Exploits (PoC) will der Forscher allerdings noch zurückhalten, um den Anwendern Zeit zu geben, ihre Systeme zu aktualisieren. Weitere Details dazu werde er erst in einem zukünftigen Blogbeitrag erläutern, schrieb er.

Für Ubuntu 23.04 und Fedora 38 verfüge er bereits über zuverlässig funktionierende PoC-Exploits. "Ich habe keine PoCs für andere Distributionen erstellt, aber ich glaube, dass alle Distributionen, auf denen Gnome läuft, potenziell angreifbar sind", erklärte Backhouse weiter.

Für Nutzer, die testen wollen, ob ihr System anfällig ist, stellte der Forscher auf Github eine vereinfachte Version des Exploits bereit, die lediglich einen harmlosen Absturz verursachen soll. "Speichern Sie eine ungepatchte VM mit Ubuntu 23.04 oder Fedora 38, wenn Sie den vollständigen PoC testen möchten, sobald ich ihn veröffentlicht habe", forderte Backhouse neugierige Anwender auf.