Treffpunkt Königsplatz

Kann man im Betriebsystem Linux so einfach eindringen, wenn NICHT ALS ROOT unterwegs ist?

Ich habe unter Windows übrigens die Einstellung nach dem Speicherort fragen schon immer eingestellt.

Heise Artikel

(18.11.2016, 13:06)TomTinte schrieb: [ -> ]Kann man im Betriebsystem Linux so einfach eindringen, wenn NICHT ALS ROOT unterwegs ist?
Ich habe unter Windows übrigens die Einstellung nach dem Speicherort fragen schon immer eingestellt.
Heise Artikel

Ich würde jetzt mal behaupten, dass das hauptsächlich eine Fedora- und keine Linux-Lücke an sich ist. Ich kann mich aber natürlich damit täuschen und lasse mich gerne etwas besseren belehren.

Linux ist grundsätzlich ein BS wie jedes andere. Zwar sicherer konzipiert als z.B. Windows, aber trotzdem "unsecure by design", weil ja hauptsächlich Programme darauf laufen sollen, und sich nicht das BS den ganzen Tag mit sich selbst beschäftigen soll. Es gibt natürlich gute und böse Programme und dagegen aber natürlich auch so Sachen wie den "kernel space" und den "user space", z.B. Damit nicht alles überall rumfuhrwerken kann. Aber das hilft alles nicht wirklich gegen Zero-Days. Sondern nur das Einspielen jedes verdammten Updates, das es gibt. Nur, wenn es (wie bei einem Zero-Day) noch keine Updates gibt, dann ist man angeschmiert. Aber das ist bei Windows, MacOS, [insert operation system here] genauso.

Es kann helfen, wenn man eine gute Firewall hat, wie sie eigentlich bei jedem BS hilfreich ist. (Jajaja, ich weiß, die Firewall soll nicht auf dem selben Rechner laufen wie das BS. Aber besser als nichts ist das.) Neuerdings wird die ja bei den Ubuntu-Derivaten ja auch schon mitgeliefert. Sollte man noch zusätzlich zur Router-Firewall immer aktiviert haben unter Linux, wenn sie schon mal da ist.

Nur, ob die Firewall dann auch gegen solche Exploits hilft? Das halte ich für zumindest fraglich.

Dazu kommt dann noch:

Zitat:Das Opfer muss mit der Linux-Distribution Fedora arbeiten und Googles Chrome-Browser nachinstalliert haben.

Ähm... "Chrome" oder "Chromium" von Google übrigens? Heise war früher mal besser, denn das ist ein kleiner Unterschied, ob ich Chrome oder Chromium habe. Chromium habe ich auch. Chrome würde ich nicht mal mit spitzen Fingern anfassen.

Es scheint also nicht mal ein Fedora-Problem zu sein, sondern irgendeine Schwachstelle, die nur auftritt, wenn man Fedora und Chrome zusammen benutzt.

(18.11.2016, 13:16)PuK schrieb: [ -> ]Nur, ob die Firewall dann auch gegen solche Exploits hilft? Das halte ich für zumindest fraglich.

Hilft gar nüscht. Eine Standard-Firewall ist ein Paketfilter auf Schicht 3 und 4, Adresse und Port. Der Content kommt über Schicht 7. Man braucht also einen Proxy bzw. eine ALF, der den Traffic analysiert und gewisse Pattern blockt. Es gibt entsprechende Appliances die so etwas können, die dürfte der Privatmann aber nicht zu Hause stehen haben. Zudem wird es im vorliegenden Fall doppelt schwierig, weil man ein komprimiertes Video nicht als solches erkennen kann, ohne es inhaltlich zu analysieren. Also müsste man alle Videos blockieren.

Martin

(18.11.2016, 13:41)Martin schrieb: [ -> ]Hilft gar nüscht. Eine Standard-Firewall ist ein Paketfilter auf Schicht 3 und 4, Adresse und Port. Der Content kommt über Schicht 7. Man braucht also einen Proxy bzw. eine ALF, der den Traffic analysiert und gewisse Pattern blockt. Es gibt entsprechende Appliances die so etwas können, die dürfte der Privatmann aber nicht zu Hause stehen haben. Zudem wird es im vorliegenden Fall doppelt schwierig, weil man ein komprimiertes Video nicht als solches erkennen kann, ohne es inhaltlich zu analysieren. Also müsste man alle Videos blockieren.

Sag ich ja, dass man das schleunigst fixen sollte bei Fedora. Oder/und auch bei Google. Updates sind das A und O. Nur muss es sie halt geben, denn gegen echte Zero-Days wie diesen helfen keine Updates im ersten Moment, weil einfach noch keine da sind.

Was sagst du aber zur Frage, ob Linux insgesamt oder nur Fedora mit Chrome von diesem speziellen Exploit betroffen ist? Und ob man besser Chrome oder Chromium nachinstallieren soll, wenn es schon unbedingt was von Google sein muss?

(18.11.2016, 13:47)PuK schrieb: [ -> ]Was sagst du aber zur Frage, ob Linux insgesamt oder nur Fedora mit Chrome von diesem speziellen Exploit betroffen ist? Und ob man besser Chrome oder Chromium nachinstallieren soll, wenn es schon unbedingt was von Google sein muss?

Aus dem oben verlinkten Heise-Artikel:

Zitat:Die eigentliche Schwachstelle ist recht unspektakulär: Es handelt sich um einen Integer-Überlauf in dem Medien-Framework gstreamer; genauer gesagt im vmnc-Decorder, mit dem man Bildschirmaufzeichnungen der Virtualisierungs-Software VMware abspielen kann. Der Angreifer erstellt eine entsprechend manipulierte Mediendatei, die den Überlauf provoziert und Schadcode auszuführen versucht.

Also: Der Exploit befindet sich auf allen Distributionen, die die o. g. Frameworks/libs installiert haben.

Und weiter:

Zitat:Besonders fatal ist an dem von Evans beschriebenen Angriff, dass das potenzielle Opfer diese Datei nicht ausführen muss – sofern einige Rahmenbedingungen erfüllt sind. Das Opfer muss mit der Linux-Distribution Fedora arbeiten und Googles Chrome-Browser nachinstalliert haben. Die Webseite des Angreifers initiiert den Download der explosiven Mediendatei, woraufhin Chrome diese ohne Rückfrage auf dem System des Nutzers speichert.

Wenn man zusätzlich noch o. g. Komponenten installiert hat, ist es weitaus gefährlicher, weil der Exploit dann ohne Zutun des Users (Abspielen eines entsprechenden Videos) greift.

Fazit: Verwundbar sind alle Systeme mit den o. g. Framework/Libs aus Absatz 1, brandgefährlich wird es für Systeme, die zusätzlich noch die Pakete aus Abschnitt 2 am Laufen haben.

Persönlich ist Chrome mein Standardbrowser. Chromium hatte mal unsere Jüngste installiert, die hatte daraufhin Probleme mit diversen Seiten und Plugins, seitdem habe ich mich nicht mehr damit beschäftigt. Als workaround würde ich einfach die Datei des vmnc-Decoders umbenennen oder als nicht ausführbar kennzeichnen. Dürften ohnehin wohl die wenigsten brauchen, VMWare-Bildschirmvideos abzuspielen.

Martin