Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Jürgen Schmidt 153

Alert Peng!!! Comic HACKT Linux

Linux: Hacked by the Comic-Handler

Bild: Screenshot Brian Bartolome

Der unter Linux weit verbreitete Dokumenten-Betrachter Evince weist eine kritische Lücke auf, die sich ausnutzen lässt, um das System mit Schad-Software zu infizieren. Der Fehler lässt sich durch Comic-Books auslösen; Updates werden bereits ausgeliefert.

Evince ist bei vielen Linux-Desktops die Standard-Applikation zur Anzeige von Dokumenten wie PDFs, TIFFs, Tex-DVI- und Postscript-Dateien – und auch Comic-Books. Letztere sind Archive mit Datei-Endungen wie .cbz für ZIP, .cbr für RAR und cbt für TAR. Über einen geschickt gewählten Dateinamen kann ein Angreifer das zum Auspacken genutzte TAR-Programm dazu bewegen, beliebige Befehle auf dem System auszuführen.

Der Entdecker der Lücke, Felix Wilhelm aus Googles Security Team, demonstriert das Problem, indem er Evince die Datei covfefe.evince im Home-Verzeichnis des Anwenders anlegen lässt. Wie der Evince-Entwickler Michael Catanzaro anmerkt, ist es nicht unbedingt erforderlich, dass der Anwender das bösartige Comic-Archiv öffnet: Weil sich der Fehler über den Thumbnailer auslösen lässt, genügt es vermutlich, eine bösartige oder kompromittierte Web-Seite aufzusuchen, um den Fehler auszulösen und sich zu infizieren. Ubuntu liefert bereits Updates für Evince aus.
Ubuntu liefert bereits Updates für Evince aus. Vergrößern

Fixes sind unterwegs

Betroffen sind laut dem Bug-Tracker-Eintrag zu CVE-2017-1000083 Evince command injection vulnerability in CBT handler die Versionen Evince 3.24.x. Die Evince-Entwickler haben das Problem prompt gefixt und die Linux-Distributoren haben auch bereits aktualisierte Pakete erstellt. Beim Schreiben dieser Nachricht poppte eine Meldung auf, dass Ubuntu Sicherheits-Updates installieren will. (ju)

153 Kommentare

Themen:

Anzeige
  1. Zahlen bitte! Linux: mehr als 25 Millionen Zeilen Code

    Zahlen bitte! Linux: mehr als 25 Millionen Zeilen Code

    Der Linux-Kernel lernt ständig neue Funktionen und wird dadurch immer fetter. Aber ist das überhaupt ein Problem? Und wofür ist der ganze Code überhaupt zuständig?

  2. Lücke im Magento-Shopsystem seit November ungestopft

    Lücke im Magento-Shopsystem seit November ungestopft

    Vor fünf Monaten fanden Sicherheitsforscher eine Lücke im verbreiteten Online-Shopsystem Magento, über die sich beliebiger Code ausführen lässt. Der Hersteller bestätigte die Lücke, hat sie aber seitdem nicht beseitigt.

  3. iPhone: Lockscreen-Schwachstelle verschafft Unbefugten Einblick in Fotos und Kontakte

    iPhone im Sperrzustand

    Mit etwas Aufwand lässt sich erneut die iOS-Gerätesperre umgehen und auf bestimmte private Nutzerdaten zugreifen, wie ein Video demonstriert. Die Lücke besteht bis hin zur aktuellen iOS-Version 10.1.1 und angeblich auch in der Beta von iOS 10.2.

  4. Kritischer Bug in Kompressions-Bibliothek RAR gefährdet AV-Software

    Kritischer Bug in Kompressions-Bibliothek RAR gefährdet AV-Software

    Fehler beim Auspacken von Archiven sind kritisch, weil sie sich besonders einfach ausnutzen lassen – etwa wenn die Antiviren-Software nach Schadcode sucht. Umso bitterer ist es, wenn die sich fünf Jahre nach ihrer Entdeckung noch ausnutzen lassen.

  1. Virenschutz unter Linux

    Schutz gegen Malware, Trojaner und Erpresser ist auch unter Linux keine schlechte Idee und fix eingerichtet - auch kostenlos.

  2. Refactoring: Strategien zum langfristigen Verbessern von Quelltextstrukturen

    Refactoring: Strategien zum langfristigen Verbessern von Quelltextstrukturen

    Mit der richtigen Herangehensweise lässt sich auch in "historisch gewachsenen" Anwendungen mit unüberwindbar scheinenden Strukturproblemen langfristig etwas für die Wart- und Erweiterbarkeit der Software tun.

  3. Aufbauanleitung für den Mini-POV-Globe

    Der Bausatz für den kleinen POV-Globe mit 56 LEDs lässt sich relativ einfach aufbauen, erfordert aber einiges an Geduld und gute Löterfahrung bei SMD-Bauteilen.

  1. Endgültiges Aus für LiMux: Münchener Stadtrat setzt den Pinguin vor die Tür

    Endgtültiges Aus für Limux: Münchener Stadtrat setzt den Pinguin vor die Tür

    Microsoft kann nach 14 Jahren Auszeit in München wieder voll "fensterln". Mit der Mehrheit der großen Koalition hat der Stadtrat endgültig beschlossen, bis 2020 wieder auf Windows umzustellen und den Ausflug in die Linux-Welt zu beenden.

  2. Snowden warnt vor Big Data, Biometrie und dem iPhone X

    Snowden warnt vor Big Data, Biometrie und dem iPhone X

    Am Beispiel der Gesichtserkennung im neuen iPhone X illustriert der Whistleblower Edward Snowden die Gefahren, denen wir uns schon in naher Zukunft stellen müssen.

  3. Intel-Computer: BSI warnt vor Sicherheitslücke, Updates teils spät

    Intel-Chipsatz B150

    Auch das Bundesamt für Sicherheit in der Informationstechnik warnt vor dem Firmware-Risiko in vielen Desktop-PCs, Notebooks und Servern, aber manche Hersteller reagieren langsam.

  4. Steam Herbstaktion: Valve verramscht Steam Link für 5 Euro – viele Spiele reduziert

    Steam Herbstaktion: Valve verramscht Steam Link für 5 Euro

    Mit dem Steam Link lassen sich PC-Spiele auf dem Fernseher spielen. Valve verkauft die Streaming-Box nun in einer Rabattaktion für 5 statt 55 Euro. Auch viele Spiele sind preislich deutlich reduziert.

Anzeige