Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.734.489 Produkten

Jürgen Schmidt 153

Alert Peng!!! Comic HACKT Linux

Linux: Hacked by the Comic-Handler

Bild: Screenshot Brian Bartolome

Der unter Linux weit verbreitete Dokumenten-Betrachter Evince weist eine kritische Lücke auf, die sich ausnutzen lässt, um das System mit Schad-Software zu infizieren. Der Fehler lässt sich durch Comic-Books auslösen; Updates werden bereits ausgeliefert.

Evince ist bei vielen Linux-Desktops die Standard-Applikation zur Anzeige von Dokumenten wie PDFs, TIFFs, Tex-DVI- und Postscript-Dateien – und auch Comic-Books. Letztere sind Archive mit Datei-Endungen wie .cbz für ZIP, .cbr für RAR und cbt für TAR. Über einen geschickt gewählten Dateinamen kann ein Angreifer das zum Auspacken genutzte TAR-Programm dazu bewegen, beliebige Befehle auf dem System auszuführen.

Anzeige
Ubuntu liefert bereits Updates für Evince aus.

Der Entdecker der Lücke, Felix Wilhelm aus Googles Security Team, demonstriert das Problem, indem er Evince die Datei covfefe.evince im Home-Verzeichnis des Anwenders anlegen lässt. Wie der Evince-Entwickler Michael Catanzaro anmerkt, ist es nicht unbedingt erforderlich, dass der Anwender das bösartige Comic-Archiv öffnet: Weil sich der Fehler über den Thumbnailer auslösen lässt, genügt es vermutlich, eine bösartige oder kompromittierte Web-Seite aufzusuchen, um den Fehler auszulösen und sich zu infizieren.

Betroffen sind laut dem Bug-Tracker-Eintrag zu CVE-2017-1000083 Evince command injection vulnerability in CBT handler die Versionen Evince 3.24.x. Die Evince-Entwickler haben das Problem prompt gefixt und die Linux-Distributoren haben auch bereits aktualisierte Pakete erstellt. Beim Schreiben dieser Nachricht poppte eine Meldung auf, dass Ubuntu Sicherheits-Updates installieren will. (ju)

153 Kommentare

Themen:

Anzeige
  1. Vodafone CallYa Flex: Tarif-App funktioniert auf dem iPhone nicht mehr

    Vodafone CallYa Flex: Tarif-App funktioniert auf dem iPhone nicht mehr

    Der flexible Prepaid-Tarif des Netzbetreibers wird per App verwaltet. Auf dem iPhone zeigt diese jedoch einen Fehler und lässt sich nicht mehr verwenden. Das Problem ist seit mehreren Wochen unbehoben.

  2. Zahlen bitte! Linux: mehr als 25 Millionen Zeilen Code

    Zahlen bitte! Linux: mehr als 25 Millionen Zeilen Code

    Der Linux-Kernel lernt ständig neue Funktionen und wird dadurch immer fetter. Aber ist das überhaupt ein Problem? Und wofür ist der ganze Code überhaupt zuständig?

  3. Entwicklungsumgebung Eclipse Oxygen.2: Java-9-, Git- und C/C++-Verbesserungen

    Entwicklungsumgebung Eclipse Oxygen.2: Java-9-, Git- und C/C++-Verbesserungen

    Die Version Oxygen.2 der Entwicklungsumgebung Eclipse bringt Fehlerbereinigungen und kleinere Verbesserungen für Java 9, vereinfacht die Handhabung mit der Versionsverwaltung Git und kompiliert C/C++-Code in Docker-Containern.

  4. Google veröffentlicht einen Grafik-Debugger

    Google veröffentlicht GPU-Debugger

    Der Graphics API Debugger ist aus dem Android Studio hervorgegangen und lässt sich nun für Vulkan-Anwendungen unter Android, Windows und Linux verwenden. Das Offline-Debugging ermöglicht das Ändern einzelner Grafikbefehle.

  1. Virenschutz unter Linux

    Schutz gegen Malware, Trojaner und Erpresser ist auch unter Linux keine schlechte Idee und fix eingerichtet - auch kostenlos.

  2. Ist Open Source Software wirklich sicherer?

    Open Source-Software gilt als sicherer als proprietäre Software - doch stimmt das wirklich? Wir machen den Praxis-Check.

  3. Refactoring: Strategien zum langfristigen Verbessern von Quelltextstrukturen

    Refactoring: Strategien zum langfristigen Verbessern von Quelltextstrukturen

    Mit der richtigen Herangehensweise lässt sich auch in "historisch gewachsenen" Anwendungen mit unüberwindbar scheinenden Strukturproblemen langfristig etwas für die Wart- und Erweiterbarkeit der Software tun.

  1. Batteriesystem und Ladestrategie beim Audi e-tron

    Audi e-tron

    Der erste rein elektrische Audi hat eine Batterie mit großer Kapazität. Und er kann sehr schnell laden. Wie das Konzept im Detail funktioniert, haben die Ingenieure des e-tron jetzt in einem Workshop erklärt: Das unausgesprochene Ziel ist, einen neuen Maßstab zu setzen und Tesla zu übertreffen

  2. Fahrbericht: Mazda 3 mit Homogen-Benziner

    Mazda

    Alle reden von Elektrifizierung – manche von teilweiser, manche von vollständiger. Mazda hingegen will die Schadstoff- und Klimaziele mit dem Verbrennungsmotor erreichen und bringt daher kommendes Jahr eine Kombination aus Otto- und Dieselmotor auf den Markt

  3. Löschanlagen-Ton zerstört Festplatten in schwedischem Rechenzentrum

    Rechenzentrum

    Der extrem laute Ton einer Gaslöschanlage hat in einem Rechenzentrum in Schweden zahlreiche Festplatten beschädigt. Der Börsenhandel in Skandinavien war deshalb stundenlang beeinträchtigt.

  4. Private Videoüberwachung: Illegaler Einsatz ist strafbar

    Überwachung im Innenhof: Beschwerden von Nachbarn nehmen zu

    Private Überwachungskameras hängen in Hauseingängen oder an Balkonen, filmen den Innenhof oder Besucher im Hausflur. Immer mehr Menschen sehen sich dadurch belästigt. Berlins Datenschutzbeauftragte bekommt es zu spüren.

Anzeige