Abo
  • Services:
Anzeige
Exploit für Ubuntus Crash-Handler Apport gefunden.
Exploit für Ubuntus Crash-Handler Apport gefunden. (Bild: Donncha O'Cearbhaill)

Linux-Sicherheit: Ubuntu-Bug ermöglicht das Ausführen von Schadcode

Exploit für Ubuntus Crash-Handler Apport gefunden.
Exploit für Ubuntus Crash-Handler Apport gefunden. (Bild: Donncha O'Cearbhaill)

Ein gefährlicher Fehler in Ubuntus Crash-Handler Apport ermöglicht es Angreifern, auf einem Zielrechner beliebigen Code aus der Ferne auszuführen. Eine Firma hat dem Entdecker der Lücke über 10.000 Dollar für den Exploit angeboten, dieser zog es jedoch vor, den Fehler an Ubuntu zu melden.

Apport sah für den irischen Programmierer Donncha O'Cearbhaill nach einem tollen Kandidaten für seine Forschung aus. "Es ist standardmäßig installiert und als ein Default File Handler registriert", schreibt er in seinem Blog. Und anders als große Programme wie Firefox, Libreoffice oder Bildbetrachter werde dem Crash-Handler verhältnismäßig wenig Beachtung geschenkt.

Anzeige

O'Cearbhaill beschreibt einen Angriff durch einen Code-Injection-Fehler in CrashDB, bei dem ein Angreifer sein Opfer lediglich dazu bringen muss, eine präparierte Crash-Datei lokal zu öffnen. Weil Ubuntu Dateitypen nicht nur an ihrer Endung erkennen kann, sondern auch an einem Mimetype-Pattern im <magic>-Tag, lässt sich der eigentliche Dateityp leicht verschleiern. O'Cearbhaill machte sich zunutze, dass Ubuntu jedweden unbekannten Dateityp mit dem Crash-Handler Apport öffnet, solange der <magic>-Tag den Wert "ProblemType:" enthält.

Alle Ubuntu-Versionen seit 12.10 betroffen

Der Code-Injection-Fehler wurde laut seinem Entdecker bereits am 22. August 2012 in Apports Revision 2464 eingeführt. Diese Version ist in allen Ubuntu-Versionen seit 12.10 (Quantal Quetzal) enthalten, einschließlich dem aktuellen Ubuntu 16.10 (Yakkety Yak).

Weil Crash-Dateien für System-Crashes von Apport mit Root-Rechten geöffnet werden, sei es zudem möglich, den Exploit mit einer Rechte-Eskalation zu verbinden. Dazu müsse die präparierte Crash-Datei in /var/crash abgelegt werden und der Nutzer beim Ausführen das Root-Passwort eingeben. Dies dürfte so mancher Ubuntu-Nutzer, der Systemcrashs bereits aus der Vergangenheit kennt, ohne weitere Prüfung tun.

Exploits zu verkaufen, wird immer lukrativer

Mit dem Verkauf dieser Lücke hätte O'Cearbhaill offenbar gut Geld verdienen können. Eine Firma habe ihm mehr als 10.000 US-Dollar für den Exploit angeboten, schreibt er. Als verantwortungsvoller Hacker zog der es jedoch vor, den Fehler an Ubuntu zu melden, damit er behoben werden kann. Auch deswegen verbindet O'Cearbhaill seine Veröffentlichung mit einem dringenden Appell: "Die IT-Industrie hat einen ernsthaften Interessenkonflikt. Es gibt einen riesigen finanziellen Anreiz für Sicherheitsforscher, gefundene Schwachstellen an Exploit-Händler zu verkaufen."

Diese Situation werde auch nicht besser, sondern schlimmer, denn "die finanziellen Anreize werden desto stärker, je sicherer Software wird und je schwieriger es wird, Fehler zu finden." Aus diesem Grund müsse die Industrie Gegenanreize für Forscher schaffen. "Wir können und sollten und nicht darauf verlassen, dass Forscher ihre Arbeit kostenlos für die Softwareindustrie verrichten. So bekommen wir keine Sicherheit." Google und Microsoft gingen hier mit ihren Bug-Bounty-Programmen mit gutem Beispiel voran.

Ubuntu-Team vorbildlich

Das Sicherheitsteam der Linux-Distribution hat O'Cearbhaill zufolge hervorragend reagiert und den Fehler schnell behoben. Bereits am 14. Dezember, nur fünf Tage nach der ersten Kontaktaufnahme, standen korrigierte Versionen von Apport in Ubuntus offiziellen Repositories zum Download bereit.


eye home zur Startseite
der_wahre_hannes 19. Dez 2016

Ermöglicht es immer noch, wenn der Bugfix noch nicht eingespielt wurde.

Schnarchnase 19. Dez 2016

Es ist auf jeden Fall anständig wie der Hacker reagiert hat. Die Firma die das Geld...

HorkheimerAnders 18. Dez 2016

Linux ist kein Gefrickel, aber wissen was dein Linux nu ausmacht bzw. die Distri...

bjs 17. Dez 2016

ich meine damit, dass gut sein alleine nicht mehr reicht. man muss sich auch pausenlos...

lear 17. Dez 2016

Es geht hier um Apport und nicht DrKonqi. Letzterer wird auch nur von KDE Anwendungen...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Stuttgart
  2. Daimler AG, Kirchheim unter Teck
  3. Daimler AG, Böblingen
  4. Daimler AG, Stuttgart


Anzeige
Spiele-Angebote
  1. 59,99€ (Vorbesteller-Preisgarantie)
  2. 1,99€
  3. (-58%) 24,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Videoüberwachung

    Erster Feldversuch mit Gesichtserkennung geplant

  2. Optane Memory

    Intel lässt den Festplatten-Beschleuniger wieder aufleben

  3. Cryptowars

    "Kein geheimer Ort für Terroristen"

  4. Trello

    Atlassian setzt alles auf eine Karte

  5. Endless Runway

    Der Flughafen wird rund

  6. Square Enix

    Gladiolus startet ohne die anderen Jungs in Final Fantasy 15

  7. All Walls Must Fall

    Strategie und Zeitreisen in Berlin

  8. Breitbandmessung

    Nutzer erhalten meist nicht versprochene Datenrate

  9. Azure Service Fabric

    Microsoft legt wichtige Cloud-Werkzeuge offen

  10. Internet of Things

    Fehler in Geschirrspüler ermöglicht Zugriff auf Webserver



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Synlight: Wie der Wasserstoff aus dem Sonnenlicht kommen soll
Synlight
Wie der Wasserstoff aus dem Sonnenlicht kommen soll
  1. Energieversorgung Tesla nimmt eigenes Solarkraftwerk in Hawaii in Betrieb

Android O im Test: Oreo, Ovomaltine, Orange
Android O im Test
Oreo, Ovomaltine, Orange
  1. Android O Alte Crypto raus und neuer Datenschutz rein
  2. Developer Preview Google veröffentlicht erste Vorschau von Android O
  3. Android O Google will Android intelligenter machen

  1. Re: Wozu in Zeiten von m.2 SSDs?

    ArcherV | 22:33

  2. erster Flughafen in zwanzig Jahren.. das bedeutet

    quineloe | 22:32

  3. Re: Auch in Deutschland?

    spezi | 22:32

  4. Re: Befehl an die Platte: Rotiere so schnell wie...

    __destruct() | 22:32

  5. Re: Autonomes Fahren

    packansack | 22:32


  1. 18:55

  2. 18:18

  3. 18:08

  4. 17:48

  5. 17:23

  6. 17:07

  7. 16:20

  8. 16:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel