• IT-Karriere:
  • Services:

Sicherheitslücken: Link anklicken führt zu Remote Code Execution

In zahlreichen Applikationen finden sich Sicherheitslücken bei der Verarbeitung von Links, betroffen sind unter anderem VLC, Libreoffice und Telegram.

Artikel von veröffentlicht am
Die Verarbeitung von Links ist tückisch: Ein Mausklick reicht manchmal, um eine Remote Code Execution auszulösen.
Die Verarbeitung von Links ist tückisch: Ein Mausklick reicht manchmal, um eine Remote Code Execution auszulösen. (Bild: Nenad Stojkovic/Flickr/CC-BY 2.0)

Bei der Verarbeitung von Hyperlinks in Applikationen gibt es Fallstricke, die zu gefährlichen Sicherheitslücken führen. Die Firma Positive Security fand entsprechende Lücken in zahlreichen Applikationen. Die Ausnutzbarkeit hängt vom Betriebssystem oder unter Linux von der jeweiligen Desktop-Umgebung ab, am kritischsten ist das Verhalten von Windows sowie das von XFCE.

Inhalt:
  1. Sicherheitslücken: Link anklicken führt zu Remote Code Execution
  2. Unklarheit, ob Libreoffice oder XFCE verantwortlich ist

Viele Applikationen überlassen das Verarbeiten von Links mit unbekannten Protokollen dem Betriebssystem oder unter Linux dem jeweiligen Desktop Environment. Unterstützt werden auch Netzwerk-Dateisysteme. Über einen Klick lässt sich damit in manchen Fällen eine ausführbare Datei aktivieren, die von einem externen System über das Internet geladen wird.

Ausführbare Datei auf Netzwerk-Dateisystem

Unter Windows kann man etwa über smb:\\ oder webdav:\\ auf Netzwerk-Dateisysteme zugreifen. Bei XFCE funktionieren nfs://, dav://, ftp:// und eine Reihe weiterer Protokolle. Windows führt verlinkte EXE-Dateien direkt aus. Unter XFCE kann man Dateien mit der Endung .desktop verlinken, die einen Befehl ausführen können.

Der Angriff funktioniert folgendermaßen: Man legt auf einem öffentlich im Internet erreichbaren Server eine Schadsoftware ab und setzt einen passenden Link. Wie man diesen dem Nutzer zukommen lässt, hängt von der jeweiligen Applikation ab.

Stellenmarkt
  1. Universitätsklinikum Frankfurt, Frankfurt am Main
  2. über grinnberg GmbH, Frankfurt am Main

Einige Applikationen filtern die erlaubten Protokolle. Doch hier herrscht offenbar Unklarheit, welche Protokolle harmlos sind und welche nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Unklarheit, ob Libreoffice oder XFCE verantwortlich ist 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X 358,03€)

kayozz 16. Apr 2021 / Themenstart

Das ist doch ein Feature. Sicher wird eine App geöffnet, aber mir fehlt das Beispiel, wie...

TheTomas 16. Apr 2021 / Themenstart

Es ist müßig Euch das kleine 1x1 der Informationssicherheit zu verklickern.... Eure...

gan 16. Apr 2021 / Themenstart

Man kann es auch übertreiben.

imareg 15. Apr 2021 / Themenstart

eine geile Überschrift :-))

Kommentieren


Folgen Sie uns
       


Toyota Mirai II Probe gefahren

Die Brennstoff-Limousine gefällt uns, aber Tankstellen muss man suchen.

Toyota Mirai II Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /