Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.703.355 Produkten

Jürgen Schmidt 153

Alert Peng!!! Comic HACKT Linux

Linux: Hacked by the Comic-Handler

Bild: Screenshot Brian Bartolome

Der unter Linux weit verbreitete Dokumenten-Betrachter Evince weist eine kritische Lücke auf, die sich ausnutzen lässt, um das System mit Schad-Software zu infizieren. Der Fehler lässt sich durch Comic-Books auslösen; Updates werden bereits ausgeliefert.

Evince ist bei vielen Linux-Desktops die Standard-Applikation zur Anzeige von Dokumenten wie PDFs, TIFFs, Tex-DVI- und Postscript-Dateien – und auch Comic-Books. Letztere sind Archive mit Datei-Endungen wie .cbz für ZIP, .cbr für RAR und cbt für TAR. Über einen geschickt gewählten Dateinamen kann ein Angreifer das zum Auspacken genutzte TAR-Programm dazu bewegen, beliebige Befehle auf dem System auszuführen.

Anzeige
Ubuntu liefert bereits Updates für Evince aus.
Ubuntu liefert bereits Updates für Evince aus.

Der Entdecker der Lücke, Felix Wilhelm aus Googles Security Team, demonstriert das Problem, indem er Evince die Datei covfefe.evince im Home-Verzeichnis des Anwenders anlegen lässt. Wie der Evince-Entwickler Michael Catanzaro anmerkt, ist es nicht unbedingt erforderlich, dass der Anwender das bösartige Comic-Archiv öffnet: Weil sich der Fehler über den Thumbnailer auslösen lässt, genügt es vermutlich, eine bösartige oder kompromittierte Web-Seite aufzusuchen, um den Fehler auszulösen und sich zu infizieren.

Betroffen sind laut dem Bug-Tracker-Eintrag zu CVE-2017-1000083 Evince command injection vulnerability in CBT handler die Versionen Evince 3.24.x. Die Evince-Entwickler haben das Problem prompt gefixt und die Linux-Distributoren haben auch bereits aktualisierte Pakete erstellt. Beim Schreiben dieser Nachricht poppte eine Meldung auf, dass Ubuntu Sicherheits-Updates installieren will. (ju)

153 Kommentare

Themen:

Anzeige
  1. Entwicklungsumgebung Eclipse Oxygen.2: Java-9-, Git- und C/C++-Verbesserungen

    Entwicklungsumgebung Eclipse Oxygen.2: Java-9-, Git- und C/C++-Verbesserungen

    Die Version Oxygen.2 der Entwicklungsumgebung Eclipse bringt Fehlerbereinigungen und kleinere Verbesserungen für Java 9, vereinfacht die Handhabung mit der Versionsverwaltung Git und kompiliert C/C++-Code in Docker-Containern.

  2. iOS 11.2: Probleme mit Lightning-Kabeln und Face ID

    iPhone X

    Nach Installation des jüngsten iPhone-System-Updates klappt einem Bericht zufolge die Synchronisation mit manchen Kabeln von Drittanbietern nicht mehr. Face ID verweigert auf dem iPhone X unter Umständen den Dienst – das Problem lässt sich leicht beheben.

  3. Microsoft-Browser Edge: Google veröffentlicht Zero-Day-Lücke, kein Patch in Sicht

    Microsoft-Browser Edge: Google veröffentlicht Zero-Day-Lücke, kein Patch in Sicht

    Der JIT-Compiler, der Microsofts Edge-Browser von Angriffscode aus dem Web isolieren soll, lässt sich selbst zum Einschleusen von Angriffscode missbrauchen. Google hat die dazugehörige Lücke nun veröffentlicht, ohne dass Microsoft Zeit zum Patchen hatte.

  4. Bug in macOS High Sierra: Anzeige von Einstellungsdatei kann diese löschen

    macOS 10.13

    Ruft man in macOS 10.13 Programmeinstellungen über die Kommandozeile auf, werden diese kurzerhand gelöscht – wenn sie einen Fehler enthalten.

  1. Virenschutz unter Linux

    Schutz gegen Malware, Trojaner und Erpresser ist auch unter Linux keine schlechte Idee und fix eingerichtet - auch kostenlos.

  2. Ist Open Source Software wirklich sicherer?

    Open Source-Software gilt als sicherer als proprietäre Software - doch stimmt das wirklich? Wir machen den Praxis-Check.

  3. Refactoring: Strategien zum langfristigen Verbessern von Quelltextstrukturen

    Refactoring: Strategien zum langfristigen Verbessern von Quelltextstrukturen

    Mit der richtigen Herangehensweise lässt sich auch in "historisch gewachsenen" Anwendungen mit unüberwindbar scheinenden Strukturproblemen langfristig etwas für die Wart- und Erweiterbarkeit der Software tun.

  1. KI-Forschung und erste Anwendungsschrittchen: Roboter Josie hilft Passagieren am Flughafen

    Roboter Josie hilft Passagieren am Flughafen

    Wann geht mein Flug? Wie finde ich das richtige Gate? Und wo bekomme ich einen Kaffee? Klassische Fragen von Reisenden am Flughafen. In München beantwortet sie seit kurzem eine neue "Mitarbeiterin", die auch schon mal Luftgitarre spielt.

  2. Demnächst für Android und iOS: Googles Bildanalyse Lens erkennt Pflanzen, Tiere und mehr

    Google-Bilderkennung Lens für alle Android-Smartphone und sogar iOS

    Googles leistungsfähiges Foto-Analyse-Tool Lens funktionierte bislang nur mit Pixel-Smartphones. Nun will Google alle Android- und sogar iOS-Telefone damit ausstatten: Lens wird Bestandteil der "Fotos"- und "Assistant"-Apps.

  3. Wochenrückblick Replay: macOS-Umstieg, brutales Tracking, Bitcoin-Beutezug

    Wochenrückblich Replay: macOS-Umstieg, brutales Tracking, Bitcoin-Beutezug

    Heise feiert die hunderstste Folge seiner Show und foltert sich selbst. Außerdem dabei: Knöllchen vom Smartphone, ein Leak von Samsung S9 und hartnäckige Tracker.

  4. Massaker in Florida: Trump nimmt Gewalt in Computerspielen ins Visier

    Donald Trump

    US-Präsident Donald Trump beklagt nach dem bewaffneten Überfall auf eine Schule in Florida den hohen "Grad an Gewalt in Videospielen", der "die Gedanken junger Menschen prägt". Dagegen müsse etwas getan werden.

Anzeige