Unklarheit, ob Libreoffice oder XFCE verantwortlich ist

Eine der von Positive Security beschriebenen Lücken befindet sich in Telegram. Dort werden zwar nur bestimmte Protokolle erlaubt, darunter ist aber das sftp-Protokoll. Unter XFCE wird eine von dort referenzierte .desktop-Datei ausgeführt. Unter Windows ist das sftp-Protokoll standardmäßig nicht unterstützt, es kann aber von Applikationen registriert werden. Indirekt gelang es Positive Security so, über einen weiteren Bug in WinSCP Code auszuführen.

Stellenmarkt
  1. (Junior-) Referent (m/w/d) für das Anwendungsmanagement im Team IT-Management und Services
    Taunus Sparkasse, Bad Homburg vor der Höhe
  2. Referent (m/w/d) für den Bereich Infomationstechnologie
    Katholisches Datenschutzzentrum, Dortmund
Detailsuche

Weitere Lücken fanden sich im Nextcloud-Desktop-Client, angreifbar durch einen bösartigen Nextcloud-Server, in VLC bei der Verarbeitung von Playlisten, in Mumble, im offiziellen Bitcoin-Client, in Wireshark und in Openoffice sowie Libreoffice.

In Libreoffice ist es möglich, Links in Dokumente einzufügen, aktiviert werden diese über STRG-Klick, ein einfacher Mausklick reicht also nicht. Dabei zeigt sich, dass es manchmal strittig ist, wer für eine Sicherheitslücke verantwortlich ist. Unter Windows versucht die Software bereits, die Verlinkung von ausführbaren Dateien zu verhindern, indem Dateien mit entsprechender Endung blockiert werden. Diesen Schutz konnte Positive Security jedoch mit mehreren Methoden austricksen. Unter Linux haben ausführbare Dateien keine Endung, der Schutzmechanismus greift daher nicht.

Die Entwickler von Libreoffice haben nur die Umgehungsmechanismen unter Windows korrigiert. Für die Verwundbarkeit unter XFCE sahen sie das darunterliegende System, in dem Fall also das Desktop Environment, verantwortlich.

Gnome und KDE weniger anfällig

Golem Akademie
  1. Unity Basiswissen: virtueller Drei-Tage-Workshop
    7.–9. Februar 2022, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
Weitere IT-Trainings

Tatsächlich ist es so, dass dieser Angriff unter anderen Desktop-Environments wie Gnome und KDE nicht funktioniert. In Gnome werden externe Netzwerk-Dateisysteme nicht automatisch gemountet, in KDE werden Executables nicht direkt ausgeführt. Wünschen würde man sich hier, dass die Interaktion zwischen Applikationen und dem Betriebssystem genauer spezifiziert wird.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Insgesamt handelt es sich um eine ganze Klasse von bislang wenig untersuchten Sicherheitslücken. Es erscheint nicht unwahrscheinlich, dass weitere Varianten entdeckt wurden. So wäre es denkbar, dass nicht nur ausführbare Dateien als Angriffsvektor dienen. Jede Sicherheitslücke von Applikationen beim Verarbeiten von Dateien durch Applikationen, die die entsprechende Dateiendung registriert haben, ist ein Angriffsvektor. Auch wären Angriffe denkbar, die nicht auf Netzwerkdateisysteme angewiesen sind, etwa wenn es auf andere Weise gelingt, eine Datei beim entsprechenden Nutzer zu platzieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sicherheitslücken: Link anklicken führt zu Remote Code Execution
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Sam Zeloof
Student baut Chip mit 1.200 Transistoren

In seiner Garage hat Sam Zeloof den Z2 fertiggestellt und merkt scherzhaft an, Moore's Law schneller umgesetzt zu haben als Intel selbst.

Sam Zeloof: Student baut Chip mit 1.200 Transistoren
Artikel
  1. Xbox Cloud Gaming: Wenn ich groß bin, möchte ich gerne Netflix werden
    Xbox Cloud Gaming
    Wenn ich groß bin, möchte ich gerne Netflix werden

    Call of Duty, Fallout oder Halo: Neue Spiele bequem am Business-Laptop via Stream zocken, klingt zu gut, um wahr zu sein. Ist auch nicht wahr.
    Ein Erfahrungsbericht von Benjamin Sterbenz

  2. IBM: Watson Health anteilig für 1 Mrd. US-Dollar verkauft
    IBM
    Watson Health anteilig für 1 Mrd. US-Dollar verkauft

    Mit Francisco Partners greift eine große Investmentgruppe zu, das Geschäft mit Watson Health soll laut IBM darunter aber nicht leiden.

  3. Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
    Lego Star Wars UCS AT-AT aufgebaut
    "Das ist kein Mond, das ist ein Lego-Modell"

    Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
    Ein Praxistest von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MediaMarkt & Saturn: Heute alle Produkte versandkostenfrei • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 114,90€ • Alternate (u.a. DeepCool AS500 Plus 61,89€) • Acer XV282K UHD/144 Hz 724,61€ • MindStar (u.a. be quiet! Pure Power 11 CM 600W 59€) • Sony-TVs heute im Angebot [Werbung]
    •  /