Abo
  • Services:

Red Star OS: Sicherheitslücke in Nordkoreas Staats-Linux

Ein Firefox-Klon in Nordkoreas staatlichem Linux-Betriebssystem Red Star OS akzeptiert manipulierte Befehle - Angreifer können damit aus der Ferne Code ausführen. Es ist nicht der erste Fehler.

Artikel veröffentlicht am ,
Nordkoreas Staats-Linux hat Sicherheitslücken.
Nordkoreas Staats-Linux hat Sicherheitslücken. (Bild: Screenshot Golem.de)

Die nordkoreanische Linux-Distribution Red Star OS hat eine Sicherheitslücke, mit der Angreifer aus der Ferne Kommandos ausführen können. Der Fehler liegt in der Art und Weise, wie ein vorinstallierter Firefox-Fork mit Unique Ressource Identifiers (URIs) umgeht. Die Sicherheitsfirma Hacker House hat die Schwachstelle gefunden und beschrieben.

Stellenmarkt
  1. Hays AG, Aschaffenburg
  2. Bühler GmbH, Braunschweig

Red Star OS verwendete einen Fork von Mozillas Firefox-Browser mit dem Namen Naenara. Der Browser wurde vom Korea Computer Center entwickelt und kann genutzt werden, um das nordkoreanische Intranet zu durchsuchen. Erst kürzlich hatte ein DNS-Zonentransfer gezeigt, wie wenig Domains tatsächlich in Nordkorea registriert sind.

Kommandozeile wird nicht bereinigt

Der Naenara-Browser hat aber offenbar Probleme in der Verarbeitung von URls. Feststehende Funktionen wie Mailto oder Cal werden von dem Programm in Version 3.5 ausgeführt, ohne die übergebenen Parameter um eventuell unerwünschte Codefragmente zu bereinigen. Daher reicht eine speziell präparierte Webseite, die Nutzer zum Klicken auf einen Link animiert, um beliebigen Code auszuführen.

Präpariert ein Angreifer zum Beispiel den Mailto-Link mit dem Parameter mailto:cmd wird der vorinstallierte Mailclient Evolution gestartet. Zur gleichen Zeit wird der Angriffscode dabei auf Kommandozeilenebene automatisch ausgeführt. Für die Übergabe verantwortlich ist offenbar eine Funktion im Verzeichnis /usr/bin/nnrurlshow.

  • Redstar OS lässt sich recht leicht austricksen. (Bild: Hacker House)
Redstar OS lässt sich recht leicht austricksen. (Bild: Hacker House)

Red Star OS wird seit dem Jahr 2010 entwickelt, erst im vergangenen Jahr erschienen die Installations-DVDs erstmals öffentlich, so dass auch westliche Nutzer das System ausprobieren konnten. In den vergangenen Jahren wurden bereits mehrere lokale Root-Exploits für das System entdeckt.



Anzeige
Top-Angebote
  1. (nur für Prime-Mitglieder)
  2. 39,90€ + 5,99€ Versand oder versandkostenfrei bei Zahlung mit paydirekt (Vergleichspreis 69...
  3. für 185€ (Bestpreis!)
  4. (u. a. MSI Z370 Tomahawk für 119€ statt 143,89€ im Vergleich und Kingston A1000 240 GB M.2...

Pointer 07. Dez 2016

Unter Windaus hätte er bei einer Lücke im (regierungsmäßig verbastelten) Firefox niemals...

Niaxa 06. Dez 2016

Wo habe ich noch gleich was ignoriert? Und ein gespaltenen Land muss übrigens nicht wie...

Niaxa 06. Dez 2016

Schmarrn, es gibt keine Lücken und auch keine Überwachung in NK! Das ist alles inszeniert...

Moe479 06. Dez 2016

wer hätte gedacht dass 'auslandsaufklärung' noch einmal als nützliche sache dargestellt...

HorkheimerAnders 06. Dez 2016

Vollkommen egal, die Kriegsführung per youtube Videos ist einmalig. Und Nordkorea schmei...


Folgen Sie uns
       


Energiespeicher in der Cruijff Arena - Bericht

Die Ajax-Arena in Amsterdam wird komplett aus eigenen Akkureserven betrieben. Die USVen im Keller des Gebäudes werden von Solarzellen auf dem Dach und parkenden Elektroautos aufgeladen. Golem.de konnte sich das Konzept genauer anschauen.

Energiespeicher in der Cruijff Arena - Bericht Video aufrufen
Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

Krankenversicherung: Der Papierkrieg geht weiter
Krankenversicherung
Der Papierkrieg geht weiter

Die Krankenversicherung der Zukunft wird digital und direkt, aber eine tiefgreifende Disruption des Gesundheitswesens à la Amazon wird in Deutschland wohl ausbleiben. Die Beharrungskräfte sind zu groß.
Eine Analyse von Daniel Fallenstein

  1. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche
  2. Medizintechnik Implantat wird per Ultraschall programmiert
  3. Telemedizin Neue Patienten für die Onlinepraxis

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

    •  /