Red Star OS: Sicherheitslücke in Nordkoreas Staats-Linux

Ein Firefox-Klon in Nordkoreas staatlichem Linux-Betriebssystem Red Star OS akzeptiert manipulierte Befehle - Angreifer können damit aus der Ferne Code ausführen. Es ist nicht der erste Fehler.

Artikel veröffentlicht am ,
Nordkoreas Staats-Linux hat Sicherheitslücken.
Nordkoreas Staats-Linux hat Sicherheitslücken. (Bild: Screenshot Golem.de)

Die nordkoreanische Linux-Distribution Red Star OS hat eine Sicherheitslücke, mit der Angreifer aus der Ferne Kommandos ausführen können. Der Fehler liegt in der Art und Weise, wie ein vorinstallierter Firefox-Fork mit Unique Ressource Identifiers (URIs) umgeht. Die Sicherheitsfirma Hacker House hat die Schwachstelle gefunden und beschrieben.

Stellenmarkt
  1. IT Field Service Agent (m/w/d) Servicecenter
    DAW SE, Enger
  2. Projektmanager (m/w/d) im technischen Produktmanagement
    CCV GmbH, Au in der Hallertau
Detailsuche

Red Star OS verwendete einen Fork von Mozillas Firefox-Browser mit dem Namen Naenara. Der Browser wurde vom Korea Computer Center entwickelt und kann genutzt werden, um das nordkoreanische Intranet zu durchsuchen. Erst kürzlich hatte ein DNS-Zonentransfer gezeigt, wie wenig Domains tatsächlich in Nordkorea registriert sind.

Kommandozeile wird nicht bereinigt

Der Naenara-Browser hat aber offenbar Probleme in der Verarbeitung von URls. Feststehende Funktionen wie Mailto oder Cal werden von dem Programm in Version 3.5 ausgeführt, ohne die übergebenen Parameter um eventuell unerwünschte Codefragmente zu bereinigen. Daher reicht eine speziell präparierte Webseite, die Nutzer zum Klicken auf einen Link animiert, um beliebigen Code auszuführen.

Präpariert ein Angreifer zum Beispiel den Mailto-Link mit dem Parameter mailto:cmd wird der vorinstallierte Mailclient Evolution gestartet. Zur gleichen Zeit wird der Angriffscode dabei auf Kommandozeilenebene automatisch ausgeführt. Für die Übergabe verantwortlich ist offenbar eine Funktion im Verzeichnis /usr/bin/nnrurlshow.

  • Redstar OS lässt sich recht leicht austricksen. (Bild: Hacker House)
Redstar OS lässt sich recht leicht austricksen. (Bild: Hacker House)
Golem Akademie
  1. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    26.07.2022, Virtuell
  2. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    23.-25.05.2022, Virtuell
Weitere IT-Trainings

Red Star OS wird seit dem Jahr 2010 entwickelt, erst im vergangenen Jahr erschienen die Installations-DVDs erstmals öffentlich, so dass auch westliche Nutzer das System ausprobieren konnten. In den vergangenen Jahren wurden bereits mehrere lokale Root-Exploits für das System entdeckt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Pointer 07. Dez 2016

Unter Windaus hätte er bei einer Lücke im (regierungsmäßig verbastelten) Firefox niemals...

Niaxa 06. Dez 2016

Wo habe ich noch gleich was ignoriert? Und ein gespaltenen Land muss übrigens nicht wie...

Niaxa 06. Dez 2016

Schmarrn, es gibt keine Lücken und auch keine Überwachung in NK! Das ist alles inszeniert...

Moe479 06. Dez 2016

wer hätte gedacht dass 'auslandsaufklärung' noch einmal als nützliche sache dargestellt...



Aktuell auf der Startseite von Golem.de
Cariad
Aufsichtsrat greift bei VWs Softwareentwicklung durch

Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. Überwachung: Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein
    Überwachung
    Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein

    In Rheinland-Pfalz werden Handynutzer am Steuer eines Autos automatisch erkannt. Dazu wird das System Monocam aus den Niederlanden genutzt.

  3. Love, Death + Robots 3: Mal spannend, mal tragisch, mal gelungen, mal nicht so
    Love, Death + Robots 3
    Mal spannend, mal tragisch, mal gelungen, mal nicht so

    Die abwechslungsreichste Science-Fiction-Serie unserer Zeit ist wieder da - mit acht neuen Folgen der von David Fincher produzierten Anthologie-Reihe.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /