• IT-Karriere:
  • Services:

Unklarheit, ob Libreoffice oder XFCE verantwortlich ist

Eine der von Positive Security beschriebenen Lücken befindet sich in Telegram. Dort werden zwar nur bestimmte Protokolle erlaubt, darunter ist aber das sftp-Protokoll. Unter XFCE wird eine von dort referenzierte .desktop-Datei ausgeführt. Unter Windows ist das sftp-Protokoll standardmäßig nicht unterstützt, es kann aber von Applikationen registriert werden. Indirekt gelang es Positive Security so, über einen weiteren Bug in WinSCP Code auszuführen.

Stellenmarkt
  1. Amprion GmbH, Ludwigsburg
  2. Marc Cain GmbH, Bodelshausen

Weitere Lücken fanden sich im Nextcloud-Desktop-Client, angreifbar durch einen bösartigen Nextcloud-Server, in VLC bei der Verarbeitung von Playlisten, in Mumble, im offiziellen Bitcoin-Client, in Wireshark und in Openoffice sowie Libreoffice.

In Libreoffice ist es möglich, Links in Dokumente einzufügen, aktiviert werden diese über STRG-Klick, ein einfacher Mausklick reicht also nicht. Dabei zeigt sich, dass es manchmal strittig ist, wer für eine Sicherheitslücke verantwortlich ist. Unter Windows versucht die Software bereits, die Verlinkung von ausführbaren Dateien zu verhindern, indem Dateien mit entsprechender Endung blockiert werden. Diesen Schutz konnte Positive Security jedoch mit mehreren Methoden austricksen. Unter Linux haben ausführbare Dateien keine Endung, der Schutzmechanismus greift daher nicht.

Die Entwickler von Libreoffice haben nur die Umgehungsmechanismen unter Windows korrigiert. Für die Verwundbarkeit unter XFCE sahen sie das darunterliegende System, in dem Fall also das Desktop Environment, verantwortlich.

Gnome und KDE weniger anfällig

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Tatsächlich ist es so, dass dieser Angriff unter anderen Desktop-Environments wie Gnome und KDE nicht funktioniert. In Gnome werden externe Netzwerk-Dateisysteme nicht automatisch gemountet, in KDE werden Executables nicht direkt ausgeführt. Wünschen würde man sich hier, dass die Interaktion zwischen Applikationen und dem Betriebssystem genauer spezifiziert wird.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Insgesamt handelt es sich um eine ganze Klasse von bislang wenig untersuchten Sicherheitslücken. Es erscheint nicht unwahrscheinlich, dass weitere Varianten entdeckt wurden. So wäre es denkbar, dass nicht nur ausführbare Dateien als Angriffsvektor dienen. Jede Sicherheitslücke von Applikationen beim Verarbeiten von Dateien durch Applikationen, die die entsprechende Dateiendung registriert haben, ist ein Angriffsvektor. Auch wären Angriffe denkbar, die nicht auf Netzwerkdateisysteme angewiesen sind, etwa wenn es auf andere Weise gelingt, eine Datei beim entsprechenden Nutzer zu platzieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sicherheitslücken: Link anklicken führt zu Remote Code Execution
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote

kayozz 16. Apr 2021 / Themenstart

Das ist doch ein Feature. Sicher wird eine App geöffnet, aber mir fehlt das Beispiel, wie...

TheTomas 16. Apr 2021 / Themenstart

Es ist müßig Euch das kleine 1x1 der Informationssicherheit zu verklickern.... Eure...

gan 16. Apr 2021 / Themenstart

Man kann es auch übertreiben.

imareg 15. Apr 2021 / Themenstart

eine geile Überschrift :-))

Kommentieren


Folgen Sie uns
       


Govecs Elmoto Loop - Test

Das Elmoto Loop von Govecs wiegt nur 59 Kilogramm, hat einen guten Elektromotor und fährt sich ganz anders als ein klassischer E-Roller.

Govecs Elmoto Loop - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /