Sicherheitslücken: Link anklicken führt zu Remote Code Execution

In zahlreichen Applikationen finden sich Sicherheitslücken bei der Verarbeitung von Links, betroffen sind unter anderem VLC, Libreoffice und Telegram.

Artikel von veröffentlicht am
Die Verarbeitung von Links ist tückisch: Ein Mausklick reicht manchmal, um eine Remote Code Execution auszulösen.
Die Verarbeitung von Links ist tückisch: Ein Mausklick reicht manchmal, um eine Remote Code Execution auszulösen. (Bild: Nenad Stojkovic/Flickr/CC-BY 2.0)

Bei der Verarbeitung von Hyperlinks in Applikationen gibt es Fallstricke, die zu gefährlichen Sicherheitslücken führen. Die Firma Positive Security fand entsprechende Lücken in zahlreichen Applikationen. Die Ausnutzbarkeit hängt vom Betriebssystem oder unter Linux von der jeweiligen Desktop-Umgebung ab, am kritischsten ist das Verhalten von Windows sowie das von XFCE.

Inhalt:
  1. Sicherheitslücken: Link anklicken führt zu Remote Code Execution
  2. Unklarheit, ob Libreoffice oder XFCE verantwortlich ist

Viele Applikationen überlassen das Verarbeiten von Links mit unbekannten Protokollen dem Betriebssystem oder unter Linux dem jeweiligen Desktop Environment. Unterstützt werden auch Netzwerk-Dateisysteme. Über einen Klick lässt sich damit in manchen Fällen eine ausführbare Datei aktivieren, die von einem externen System über das Internet geladen wird.

Ausführbare Datei auf Netzwerk-Dateisystem

Unter Windows kann man etwa über smb:\\ oder webdav:\\ auf Netzwerk-Dateisysteme zugreifen. Bei XFCE funktionieren nfs://, dav://, ftp:// und eine Reihe weiterer Protokolle. Windows führt verlinkte EXE-Dateien direkt aus. Unter XFCE kann man Dateien mit der Endung .desktop verlinken, die einen Befehl ausführen können.

Der Angriff funktioniert folgendermaßen: Man legt auf einem öffentlich im Internet erreichbaren Server eine Schadsoftware ab und setzt einen passenden Link. Wie man diesen dem Nutzer zukommen lässt, hängt von der jeweiligen Applikation ab.

Stellenmarkt
  1. DevOps Engineer (m/w/d)
    J. Schmalz GmbH, Glatten
  2. SAP Entwickler (m/w/d) als Solutionmanager PM/AIN / PDMS
    BIM Berliner Immobilienmanagement GmbH, Berlin
Detailsuche

Einige Applikationen filtern die erlaubten Protokolle. Doch hier herrscht offenbar Unklarheit, welche Protokolle harmlos sind und welche nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Unklarheit, ob Libreoffice oder XFCE verantwortlich ist 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation  
Die dubiose Adresse in Berlin-Treptow

Angeblich hat das Innenministerium nichts mit dem Bundesservice Telekommunikation zu tun. Doch beide teilen sich offenbar ein Bürogebäude.
Ein Bericht von Friedhelm Greis

Bundesservice Telekommunikation: Die dubiose Adresse in Berlin-Treptow
Artikel
  1. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

  2. E-Mail: Outlook-Suche in MacOS 12.1 ist noch immer kaputt
    E-Mail
    Outlook-Suche in MacOS 12.1 ist noch immer kaputt

    Seit Wochen ärgern sich Outlook-User darüber, dass die E-Mail-Suche unter MacOS 12.1 nicht mehr richtig funktioniert. Ein Fix ist in Arbeit.

  3. Spielebranche: Microsoft will Activision Blizzard übernehmen
    Spielebranche
    Microsoft will Activision Blizzard übernehmen

    Diablo und Call of Duty gehören bald zu Microsoft: Der Softwarekonzern will Activision Blizzard für rund 70 Milliarden US-Dollar kaufen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 Digital inkl. 2. Dualsense bestellbar • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
    •  /