• IT-Karriere:
  • Services:

Red Star OS: Sicherheitslücke in Nordkoreas Staats-Linux

Ein Firefox-Klon in Nordkoreas staatlichem Linux-Betriebssystem Red Star OS akzeptiert manipulierte Befehle - Angreifer können damit aus der Ferne Code ausführen. Es ist nicht der erste Fehler.

Artikel veröffentlicht am ,
Nordkoreas Staats-Linux hat Sicherheitslücken.
Nordkoreas Staats-Linux hat Sicherheitslücken. (Bild: Screenshot Golem.de)

Die nordkoreanische Linux-Distribution Red Star OS hat eine Sicherheitslücke, mit der Angreifer aus der Ferne Kommandos ausführen können. Der Fehler liegt in der Art und Weise, wie ein vorinstallierter Firefox-Fork mit Unique Ressource Identifiers (URIs) umgeht. Die Sicherheitsfirma Hacker House hat die Schwachstelle gefunden und beschrieben.

Stellenmarkt
  1. Time Change GmbH, Berlin
  2. Dataport, Altenholz bei Kiel, Bremen, Hamburg, Magdeburg

Red Star OS verwendete einen Fork von Mozillas Firefox-Browser mit dem Namen Naenara. Der Browser wurde vom Korea Computer Center entwickelt und kann genutzt werden, um das nordkoreanische Intranet zu durchsuchen. Erst kürzlich hatte ein DNS-Zonentransfer gezeigt, wie wenig Domains tatsächlich in Nordkorea registriert sind.

Kommandozeile wird nicht bereinigt

Der Naenara-Browser hat aber offenbar Probleme in der Verarbeitung von URls. Feststehende Funktionen wie Mailto oder Cal werden von dem Programm in Version 3.5 ausgeführt, ohne die übergebenen Parameter um eventuell unerwünschte Codefragmente zu bereinigen. Daher reicht eine speziell präparierte Webseite, die Nutzer zum Klicken auf einen Link animiert, um beliebigen Code auszuführen.

Präpariert ein Angreifer zum Beispiel den Mailto-Link mit dem Parameter mailto:cmd wird der vorinstallierte Mailclient Evolution gestartet. Zur gleichen Zeit wird der Angriffscode dabei auf Kommandozeilenebene automatisch ausgeführt. Für die Übergabe verantwortlich ist offenbar eine Funktion im Verzeichnis /usr/bin/nnrurlshow.

  • Redstar OS lässt sich recht leicht austricksen. (Bild: Hacker House)
Redstar OS lässt sich recht leicht austricksen. (Bild: Hacker House)

Red Star OS wird seit dem Jahr 2010 entwickelt, erst im vergangenen Jahr erschienen die Installations-DVDs erstmals öffentlich, so dass auch westliche Nutzer das System ausprobieren konnten. In den vergangenen Jahren wurden bereits mehrere lokale Root-Exploits für das System entdeckt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Xbox Wireless schwarz für 39,99€, weiß für 45,99€ und schnee-weiß - Gears 5 Kait...
  2. (u. a. Lenovo Legion PC-System 799,00€, Asus VivoBook 17 für 549,00€, HP Ryzen 5 Preiskracher...
  3. (u. a. Star Wars Jedi: Fallen Order für 44,99€, Borderlands 3 für 31,90€, Red Dead Redemption...
  4. (heute Astro Gaming A10 Headset PS4 für 45,00€)

Pointer 07. Dez 2016

Unter Windaus hätte er bei einer Lücke im (regierungsmäßig verbastelten) Firefox niemals...

Niaxa 06. Dez 2016

Wo habe ich noch gleich was ignoriert? Und ein gespaltenen Land muss übrigens nicht wie...

Niaxa 06. Dez 2016

Schmarrn, es gibt keine Lücken und auch keine Überwachung in NK! Das ist alles inszeniert...

Moe479 06. Dez 2016

wer hätte gedacht dass 'auslandsaufklärung' noch einmal als nützliche sache dargestellt...

HorkheimerAnders 06. Dez 2016

Vollkommen egal, die Kriegsführung per youtube Videos ist einmalig. Und Nordkorea schmei...


Folgen Sie uns
       


Macbook Pro 16 Zoll - Test

Das Macbook Pro 16 stellt sich in unserem Test als eine echte Verbesserung dar. Das liegt auch daran, dass Apple einen Schritt zurückgeht, das Butterfly-Keyboard fallenlässt und die physische Escape-Taste zurückbringt.

Macbook Pro 16 Zoll - Test Video aufrufen
Weltraumsimulation: Die Star-Citizen-Euphorie ist ansteckend
Weltraumsimulation
Die Star-Citizen-Euphorie ist ansteckend

Jubelnde Massen, ehrliche Entwickler und ein 30 Kilogramm schweres Modell des Javelin-Zerstörers: Die Citizencon 2949 hat gezeigt, wie sehr die Community ihr Star Citizen liebt. Auf der anderen Seite reden Entwickler Klartext, statt Marketing-Floskeln zum Besten zu geben. Das steckt an.
Ein IMHO von Oliver Nickel

  1. Theatres of War angespielt Star Citizen wird zu Battlefield mit Raumschiffen
  2. Star Citizen Mit der Carrack ins neue Sonnensystem
  3. Star Citizen Squadron 42 wird noch einmal verschoben

Jobs: Spielebranche sucht Entwickler (m/w/d)
Jobs
Spielebranche sucht Entwickler (m/w/d)

Die Hälfte aller Gamer ist weiblich. An der Entwicklung von Spielen sind aber nach wie vor deutlich weniger Frauen beteiligt.
Von Daniel Ziegener

  1. Medizinsoftware Forscher finden "rassistische Vorurteile" in Algorithmus
  2. Mordhau Toxische Spieler und Filter für Frauenhasser

Staupilot: Der Zulassungsstau löst sich langsam auf
Staupilot
Der Zulassungsstau löst sich langsam auf

Nach jahrelangen Verhandlungen soll es demnächst internationale Zulassungskriterien für hochautomatisierte Autos geben. Bei höheren Automatisierungsgraden strebt die Bundesregierung aber einen nationalen Alleingang an.
Ein Bericht von Friedhelm Greis

  1. San José Bosch und Daimler starten autonomen Taxidienst
  2. Autonomes Fahren Ermittler geben Testfahrerin Hauptschuld an Uber-Unfall
  3. Ermittlungsberichte Wie die Uber-Software den tödlichen Unfall begünstigte

    •  /