Abo
  • Services:

Red Star OS: Sicherheitslücke in Nordkoreas Staats-Linux

Ein Firefox-Klon in Nordkoreas staatlichem Linux-Betriebssystem Red Star OS akzeptiert manipulierte Befehle - Angreifer können damit aus der Ferne Code ausführen. Es ist nicht der erste Fehler.

Artikel veröffentlicht am ,
Nordkoreas Staats-Linux hat Sicherheitslücken.
Nordkoreas Staats-Linux hat Sicherheitslücken. (Bild: Screenshot Golem.de)

Die nordkoreanische Linux-Distribution Red Star OS hat eine Sicherheitslücke, mit der Angreifer aus der Ferne Kommandos ausführen können. Der Fehler liegt in der Art und Weise, wie ein vorinstallierter Firefox-Fork mit Unique Ressource Identifiers (URIs) umgeht. Die Sicherheitsfirma Hacker House hat die Schwachstelle gefunden und beschrieben.

Stellenmarkt
  1. Universität Passau, Passau
  2. WERTGARANTIE Group, Hannover

Red Star OS verwendete einen Fork von Mozillas Firefox-Browser mit dem Namen Naenara. Der Browser wurde vom Korea Computer Center entwickelt und kann genutzt werden, um das nordkoreanische Intranet zu durchsuchen. Erst kürzlich hatte ein DNS-Zonentransfer gezeigt, wie wenig Domains tatsächlich in Nordkorea registriert sind.

Kommandozeile wird nicht bereinigt

Der Naenara-Browser hat aber offenbar Probleme in der Verarbeitung von URls. Feststehende Funktionen wie Mailto oder Cal werden von dem Programm in Version 3.5 ausgeführt, ohne die übergebenen Parameter um eventuell unerwünschte Codefragmente zu bereinigen. Daher reicht eine speziell präparierte Webseite, die Nutzer zum Klicken auf einen Link animiert, um beliebigen Code auszuführen.

Präpariert ein Angreifer zum Beispiel den Mailto-Link mit dem Parameter mailto:cmd wird der vorinstallierte Mailclient Evolution gestartet. Zur gleichen Zeit wird der Angriffscode dabei auf Kommandozeilenebene automatisch ausgeführt. Für die Übergabe verantwortlich ist offenbar eine Funktion im Verzeichnis /usr/bin/nnrurlshow.

  • Redstar OS lässt sich recht leicht austricksen. (Bild: Hacker House)
Redstar OS lässt sich recht leicht austricksen. (Bild: Hacker House)

Red Star OS wird seit dem Jahr 2010 entwickelt, erst im vergangenen Jahr erschienen die Installations-DVDs erstmals öffentlich, so dass auch westliche Nutzer das System ausprobieren konnten. In den vergangenen Jahren wurden bereits mehrere lokale Root-Exploits für das System entdeckt.



Anzeige
Hardware-Angebote
  1. ab 99,98€
  2. täglich neue Deals bei Alternate.de
  3. bei Alternate bestellen

Pointer 07. Dez 2016

Unter Windaus hätte er bei einer Lücke im (regierungsmäßig verbastelten) Firefox niemals...

Niaxa 06. Dez 2016

Wo habe ich noch gleich was ignoriert? Und ein gespaltenen Land muss übrigens nicht wie...

Niaxa 06. Dez 2016

Schmarrn, es gibt keine Lücken und auch keine Überwachung in NK! Das ist alles inszeniert...

Moe479 06. Dez 2016

wer hätte gedacht dass 'auslandsaufklärung' noch einmal als nützliche sache dargestellt...

HorkheimerAnders 06. Dez 2016

Vollkommen egal, die Kriegsführung per youtube Videos ist einmalig. Und Nordkorea schmei...


Folgen Sie uns
       


Amazons Echo Dot (2018) - Test

Echo Dot steht eigentlich für muffigen Klang. Das ändert sich grundlegend mit dem neuen Echo Dot. Amazons neuer Alexa-Lautsprecher ist damit durchaus zum Musikhören geeignet. Für einen 60 Euro teuren Lautsprecher bietet der neue Echo Dot eine gute Klangqualität.

Amazons Echo Dot (2018) - Test Video aufrufen
Gigabit: 5G-Planungen gehen völlig an den Nutzern vorbei
Gigabit
5G-Planungen gehen völlig an den Nutzern vorbei

Fast täglich hören wir Erklärungen aus der Telekommunikationsbranche, was 5G erfüllen müsse und warum sonst das Ende der Welt drohe. Wir haben die Konzerngruppen nach Interessenlage kartografiert.
Ein IMHO von Achim Sawall

  1. Bundesnetzagentur Regierung will gemeinsames 5G-Netz auf dem Land durchsetzen
  2. Mobilfunk Telekom will 5G-Infrastruktur mit anderen gemeinsam nutzen
  3. Fixed Wireless Access Nokia bringt mehrere 100 MBit/s mit LTE ins Festnetz

Neuer Kindle Paperwhite im Hands On: Amazons wasserdichter E-Book-Reader mit planem Display
Neuer Kindle Paperwhite im Hands On
Amazons wasserdichter E-Book-Reader mit planem Display

Amazon bringt einen neuen Kindle Paperwhite auf den Markt und verbessert viel. Der E-Book-Reader steckt in einem wasserdichten Gehäuse, hat eine plane Displayseite, mehr Speicher und wir können damit Audible-Hörbücher hören. Noch nie gab es so viel Kindle-Leistung für so wenig Geld.
Ein Hands on von Ingo Pakalski


    Campusnetze: Das teure Versäumnis der Telekom
    Campusnetze
    Das teure Versäumnis der Telekom

    Die Deutsche Telekom muss anderen Konzernen bei 5G-Campusnetzen entgegenkommen. Jahrzehntelang von Funklöchern auf dem Lande geplagt, wollen Siemens und die Automobilindustrie nun selbst Mobilfunknetze aufspannen. Auch der öffentliche Rundfunk will selbst 5G machen.
    Eine Analyse von Achim Sawall

    1. Funklöcher Telekom bietet freiwillig hohe 5G-Netzabdeckung an
    2. 5G Telekom hat ihr Mobilfunknetz mit Glasfaser versorgt
    3. Stadtnetzbetreiber 5G-Netz kann auch aus der Box kommen

      •  /