Abo
  • Services:
Anzeige
Nordkoreas Staats-Linux hat Sicherheitslücken.
Nordkoreas Staats-Linux hat Sicherheitslücken. (Bild: Screenshot Golem.de)

Red Star OS: Sicherheitslücke in Nordkoreas Staats-Linux

Nordkoreas Staats-Linux hat Sicherheitslücken.
Nordkoreas Staats-Linux hat Sicherheitslücken. (Bild: Screenshot Golem.de)

Ein Firefox-Klon in Nordkoreas staatlichem Linux-Betriebssystem Red Star OS akzeptiert manipulierte Befehle - Angreifer können damit aus der Ferne Code ausführen. Es ist nicht der erste Fehler.

Die nordkoreanische Linux-Distribution Red Star OS hat eine Sicherheitslücke, mit der Angreifer aus der Ferne Kommandos ausführen können. Der Fehler liegt in der Art und Weise, wie ein vorinstallierter Firefox-Fork mit Unique Ressource Identifiers (URIs) umgeht. Die Sicherheitsfirma Hacker House hat die Schwachstelle gefunden und beschrieben.

Anzeige

Red Star OS verwendete einen Fork von Mozillas Firefox-Browser mit dem Namen Naenara. Der Browser wurde vom Korea Computer Center entwickelt und kann genutzt werden, um das nordkoreanische Intranet zu durchsuchen. Erst kürzlich hatte ein DNS-Zonentransfer gezeigt, wie wenig Domains tatsächlich in Nordkorea registriert sind.

Kommandozeile wird nicht bereinigt

Der Naenara-Browser hat aber offenbar Probleme in der Verarbeitung von URls. Feststehende Funktionen wie Mailto oder Cal werden von dem Programm in Version 3.5 ausgeführt, ohne die übergebenen Parameter um eventuell unerwünschte Codefragmente zu bereinigen. Daher reicht eine speziell präparierte Webseite, die Nutzer zum Klicken auf einen Link animiert, um beliebigen Code auszuführen.

Präpariert ein Angreifer zum Beispiel den Mailto-Link mit dem Parameter mailto:cmd wird der vorinstallierte Mailclient Evolution gestartet. Zur gleichen Zeit wird der Angriffscode dabei auf Kommandozeilenebene automatisch ausgeführt. Für die Übergabe verantwortlich ist offenbar eine Funktion im Verzeichnis /usr/bin/nnrurlshow.

  • Redstar OS lässt sich recht leicht austricksen. (Bild: Hacker House)
Redstar OS lässt sich recht leicht austricksen. (Bild: Hacker House)

Red Star OS wird seit dem Jahr 2010 entwickelt, erst im vergangenen Jahr erschienen die Installations-DVDs erstmals öffentlich, so dass auch westliche Nutzer das System ausprobieren konnten. In den vergangenen Jahren wurden bereits mehrere lokale Root-Exploits für das System entdeckt.


eye home zur Startseite
Pointer 07. Dez 2016

Unter Windaus hätte er bei einer Lücke im (regierungsmäßig verbastelten) Firefox niemals...

Niaxa 06. Dez 2016

Wo habe ich noch gleich was ignoriert? Und ein gespaltenen Land muss übrigens nicht wie...

Niaxa 06. Dez 2016

Schmarrn, es gibt keine Lücken und auch keine Überwachung in NK! Das ist alles inszeniert...

Moe479 06. Dez 2016

wer hätte gedacht dass 'auslandsaufklärung' noch einmal als nützliche sache dargestellt...

HorkheimerAnders 06. Dez 2016

Vollkommen egal, die Kriegsführung per youtube Videos ist einmalig. Und Nordkorea schmei...



Anzeige

Stellenmarkt
  1. Bilfinger SE, Mannheim
  2. operational services GmbH & Co. KG, Berlin, Dresden, Frankfurt, München
  3. Dataport, Hamburg, Altenholz bei Kiel
  4. TenneT TSO GmbH, Bayreuth


Anzeige
Blu-ray-Angebote
  1. 49,00€ (zzgl. 4,99€ Versand oder versandkostenfrei bei Abholung im Markt)
  2. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  3. 16,99€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand)

Folgen Sie uns
       


  1. Hauptversammlung

    Rocket Internet will eine Bank sein

  2. Alphabet

    Google-Chef verdient 200 Millionen US-Dollar

  3. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  4. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  5. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  6. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  7. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  8. Die Woche im Video

    Mr. Robot und Ms MINT

  9. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  10. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mario Kart 8 Deluxe im Test: Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
Mario Kart 8 Deluxe im Test
Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
  1. Hybridkonsole Nintendo verkauft im ersten Monat 2,74 Millionen Switch
  2. Nintendo Switch Verkaufszahlen in den USA nahe der Millionengrenze
  3. Nintendo Von Mario-Minecraft bis zu gelben dicken Joy-Cons

Bonaverde: Von einem, den das Kaffeerösten das Fürchten lehrte
Bonaverde
Von einem, den das Kaffeerösten das Fürchten lehrte
  1. Google Alphabet macht weit über 5 Milliarden Dollar Gewinn
  2. Insolvenz Weniger Mitarbeiter und teure Supportverträge bei Protonet
  3. Jungunternehmer Über 3.000 deutsche Startups gingen 2016 pleite

Noonee: Exoskelett ermöglicht Sitzen ohne Stuhl
Noonee
Exoskelett ermöglicht Sitzen ohne Stuhl

  1. Re: was hat google in letzter zeit weiter erreicht?

    Stefan99 | 08:08

  2. Re: Kein Mensch ist 200 Mio. Dollar/Euro Wert

    Stefan99 | 08:06

  3. Re: Abgehoben

    Stefan99 | 08:03

  4. Re: Intel kann es halt nicht

    Mixermachine | 08:00

  5. Re: Wer kein Geld mehr hat macht ne Bank auf

    Emulex | 07:59


  1. 13:08

  2. 12:21

  3. 15:07

  4. 14:32

  5. 13:35

  6. 12:56

  7. 12:15

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel