ComputerBase Menü
Aktuelles

News Gnome-Desktop gefährdet: Schwachstelle erlaubt Schadcodeausführung unter Linux

Als Benutzer vom Plasma-Desktop (siehe SteamDeck) für mich eigentlich weniger relevant, aber ich finde es immer gut, zu wissen, was gerade gefährlich sein kann.

Insofern, danke für den Hinweis!
 
up.whatever schrieb:
standard Indexer
Zum Vergrößern anklicken....
Tracker wird auch anderswo verwendet und ist nicht das Problem, sondern libcue. Schreibt der Sicherheitsforscher auch so.
Der Service läuft bei mir auch im Hintergrund obwohl ich eine andere DE nutze. Insofern würde ich mal pessimistisch davon ausgehen, dass nicht nur Gnome betroffen sein könnte.
 
Echt jetzt?
Wenn also ein Anwender durch nur einen einzigen Klick auf einer Webseite eine speziell präparierte .cue-Datei herunterlade, sodass diese im Download-Verzeichnis des Anwenders lande
Zum Vergrößern anklicken....
Soll das das das das neue CB Niveau werden? Clickbait Battle mit golem.de?

Wer hätte denn auch denken können, dass das anklicken / runterladen von Malware den Rechner verseuchen kann.
OMG 😱
 
Piktogramm schrieb:
Da die verschiedenen Distributionen alle unterschiedliche Prozesse pflegen oder teils gar keine geschlossenen Mailinglisten für Security haben, ist das keinem Maintainer irgend eines Softwareprojekts zuzumuten.
Zum Vergrößern anklicken....
Soweit ich weiß gibt es gut funktionierende responsible disclosure Prozesse, die zumindest zwischen den weit verbreiteten Distos koordiniert sind. Bei der glibc-Schwachstelle von letzter Woche hat das z.B. gut funktioniert.

Als Maintainer muss man also nicht zwangsläufig mit allen Distros in Kontakt treten.
 
h00bi schrieb:
Echt jetzt?

Soll das das das das neue CB Niveau werden? Clickbait Battle mit golem.de?

Wer hätte denn auch denken können, dass das anklicken / runterladen von Malware den Rechner verseuchen kann.
OMG 😱
Zum Vergrößern anklicken....
Echt jetzt? Sind wir hier im Chip-Forum?

Wie wärs, wenn du erstmal den ganzen Text liest anstatt dich hier so künstlich aufzuregen?

Die Art und Weise, wie libcue von Tracker Miners verwendet wird, scheint den Missbrauch der Schwachstelle durch Angreifer allerdings zu vereinfachen. Laut Backhouse sorge die Änderung oder das Hinzufügen einer Datei im Home-Verzeichnis des Nutzers bereits dafür, dass Tracker Miners den Index entsprechend aktualisiere. Wenn also ein Anwender durch nur einen einzigen Klick auf einer Webseite eine speziell präparierte .cue-Datei herunterlade, sodass diese im Download-Verzeichnis des Anwenders lande, werde die Datei automatisch von Tracker Miners unter Einsatz von libcue analysiert, was schließlich zur Ausführung von darin eingebettetem Schadcode führe.
Zum Vergrößern anklicken....

Das ist der springende Punkt, den du offensichtlich nicht verstanden hast...

Üblicherweise sollte ein reines herunterladen einer Datei eben NICHT zu einer Infektion des Rechners führen.
 
  • Gefällt mir
Reaktionen: floTTes, Arc Angeling, netzgestaltung und eine weitere Person
Je mehr Leute auf 'FU Microsoft, jetzt erst recht Linux' springen, mal von den ganzen Webservern (und nicht vergessen, Android. Auch ein Linux.) abgesehen, desto lohnender wird es für Cyberkriminelle, nach Schwachstellen zu suchen.

Linux mag zwar nicht ganz so anfällig sein, aber ich erinnere mich daran, das vor einigen Jahren ein paar Löcher in der glibc gefunden wurden, über die man auch root-Zugang bekommen konnte. Und diese Schwachstelle war seit den 90ern drin.
 
EdwinOdesseiron schrieb:
Gibt aber keine privilege escalation oder? Ich meine mit Userrechten genug Unsinn machen, aber besser als mit root rechten.
Zum Vergrößern anklicken....
Echte, effektive Nutzertrennung gibt es hauptsächlich auf Servern und selten auf Privatrechnern. Alle Distributionen die sudo ohne sehr restriktive sudoers Datei haben defacto keine effektitve Nutzertrennung (man kann trivial sudo mit Nutzerrechten aliasen bzw. eine andere binary ausführen lassen und muss dann nur darauf warten, dass der Nutzer sudo verwendet). Soweit ich weiß betrifft das alle gängigen Distros.
Davon abgesehen passiert auf einem Privatrechner in der Regel das interessante auf der Ebene des Nutzers (z.B. öffnen des Passwort-Safes), von daher hat eine privilege escalation hier auch nur einen verringerten Mehrwert.
 
  • Gefällt mir
Reaktionen: Arc Angeling und Piktogramm
up.whatever schrieb:
Dass der standard Indexer des Gnome Desktops diese Library standardmäßig verwendet hat gar nichts mit dem Gnome Desktop zu tun?
Zum Vergrößern anklicken....

Hat man einen ordentlichen Paketmanager kann man auch gewisse Komponenten nicht installieren.

Hat man eine ordentlichen Paketmanager kann man auch selbst Pakete umschreiben. Tracker war früher keine Kernkomponente.

Also, wo ist jetzt die richtigere Aussage?

Oder will man jetzt meine Aussage in Abfrage stellen, dass es eine library ist, welche von Software verwendet wird?

Vielleicht weniger mit Anfänger Distros sich beschäftigen und sich eine Distro suchen mit einem ordentlichen Paketmanager. Vielleicht auch einmal die Grundlagen erlernen. LG

Ich hatte Jahrelang Gnome ohne Tracker installiert. Ich habe auch die Windows Suche deaktiviert. Wenn man selbst nicht weis, wo man seine Daten ablegt, sollte man sich Gedanken machen.
Für Windows gibt es ja auch so eine Software für ich weis nicht mehr wo meine DAten liegen, nennt sich everything.

Es soll ja Leute geben, die Drucker Software und Scanner Software automatisch installieren, Fax Software usw. obwohl kein Fax Gerät, Drucker, Scanner vorhanden ist. Soll alles vorkommen. Oder Brennprogramme installieren, obwohl gar kein optisches Laufwerk verbaut ist.
Ergänzung ()

HiveTyrant schrieb:
nach Schwachstellen zu suchen.
Zum Vergrößern anklicken....

Es wird so viel gepatcht. Die Patche haben einen Grund.

Es freut mich, das Computerbase das Thema Lücken mehr in den Vordergrund stellt.
Es freut mich, das Computerbase sich mehr mit GNU Linux beschäftigt.

Wobei ich mich Frage, wo das Problem mit dem Betriebssystem Kern liegt, wenn eine Library betroffen ist. Grundlagenkenntnisse kann man sich erwarten, Grundlagenkenntisse und sinnerfassendes Verständnis muss man sich aber nicht erwarten von Lesern und Schreiber von Artikel.

Linux vs GNU

--

Es wird leider oft vergessen, Anfänger Distributionen, Linux Mint als Negativ Beispiel, installieren zu viel Lint.
Jede Komponente die zu viel installiert ist, hat eine ganze Liste von Problemen und Kosten. Der Rest ist Hausübung zum Nachdenken, warum ich das geschrieben habe.
Ergänzung ()

SE. schrieb:
Tracker wird auch anderswo verwendet und ist nicht das Problem, sondern libcue. Schreibt der Sicherheitsforscher auch so.
Zum Vergrößern anklicken....
Ergänzung ()

rg88 schrieb:
Üblicherweise sollte ein reines herunterladen einer Datei eben NICHT zu einer Infektion des Rechners führen.
Zum Vergrößern anklicken....

Deshalb denke ich mir, nur gewisse Personen sollten solche Fachartikel für Laien schreiben.

Und der Text sollte sich auf 4 Wörter Sätze beschränken, man sieht es leider auf den letzten 2 Seiten. Es fehlt das technische sinnerfassende Verständnis.

CB hat auch die moralische Verantwortung Leute zu bilden - auch beim Sinnerfassenden LEsen und Denken.
 
Zuletzt bearbeitet:
_roman_ schrieb:
Es freut mich, das Computerbase sich mehr mit GNU Linux beschäftigt.

Wobei ich mich Frage, wo das Problem mit dem Betriebssystem Kern liegt, wenn eine Library betroffen ist. Grundlagenkenntnisse kann man sich erwarten, Grundlagenkenntisse und sinnerfassendes Verständnis muss man sich aber nicht erwarten von Lesern und Schreiber von Artikel.

Linux vs GNU

--

Es wird leider oft vergessen, Anfänger Distributionen, Linux Mint als Negativ Beispiel, installieren zu viel Lint.
Jede Komponente die zu viel installiert ist, hat eine ganze Liste von Problemen und Kosten. Der Rest ist Hausübung zum Nachdenken, warum ich das geschrieben habe.
Zum Vergrößern anklicken....
Willkommen in der realen Welt.
Die Leute interessiert herzlich wenig, ob es sich um den Kernel oder Userspace handelt, da es in allen Fällen um Linux geht.

ComputerBase berichtet darüber, weil es wichtig ist, über Sicherheitslücken und Gefahren zu berichten, insbesondere wenn es von einem Betriebssystem (deal with it) unzählige Varianten gibt und immer mehr Personen sich an Linux versuchen, insbesondere durch Geräte wie dem SteamDeck.
 
  • Gefällt mir
Reaktionen: BeBur
Also Sicherheitslücken gibts halt einfach überall immer wieder(Checkt mal Chrome/FF Updates). die frage ist doch, wie damit umgegangen wird und hier bei Linux fühl ich mich damit im Normalfall einfach gut aufgehoben. Üblicherweise gibts das Update vor Veröffentlichungen, auch wenn es hier mal anders ist - aber es wird sicher nicht lange dauern.
 
Sofern etwas kritisches gefunden wird, ist es bei den großen Distributionen in der Regal bitten Stunden behoben.

Muss ja auch, bedenkt man, wo diese teilweise zum Einsatz kommen.
 
_roman_ schrieb:
Hat man einen ordentlichen Paketmanager kann man auch gewisse Komponenten nicht installieren.
Zum Vergrößern anklicken....
Ein Paketmanager sollte nicht bevormunden 😉

roman, du hast schon Recht teilweise, wirklich, aber es wäre gut wenn du mal deine Perspektive veränderst oder reflektierst. Es gibt Menschen und/oder Plattformen mit anderen Prioritäten aus den verschiedensten Gründen. Kannst du doof finden, ist aber so.

Du hättest jetzt auch produktiv darauf hinweisen können wie der service (vorübergehend) deaktiviert wird, nicht?

edit: tracker hat ein verständliches FAQ: https://tracker.gnome.org/faq/
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Duha, netzgestaltung, BeBur und eine weitere Person
Zuletzt bearbeitet:
HiveTyrant schrieb:
Je mehr Leute auf 'FU Microsoft, jetzt erst recht Linux' springen, mal von den ganzen Webservern (und nicht vergessen, Android. Auch ein Linux.) abgesehen, desto lohnender wird es für Cyberkriminelle, nach Schwachstellen zu suchen.
Zum Vergrößern anklicken....
Der Zug ist lange abgefahren. Der Umstand, dass Linux und das Ökosystem drumherum auf Servern, IoT und dem embedded Kram wie Autos weit verbreitet ist, hat schon lange dafür gesorgt, dass kriminelles Potential genutzt wird. Zudem dieses "Ich nutze Nische, daher gibts kaum Angreifer" ein wirklich beschissenes "Sicherheitskonzept" ist.
 
  • Gefällt mir
Reaktionen: sedot, floTTes, Arc Angeling und 2 andere
_roman_ schrieb:
Hat man einen ordentlichen Paketmanager kann man auch gewisse Komponenten nicht installieren.

Vielleicht weniger mit Anfänger Distros sich beschäftigen und sich eine Distro suchen mit einem ordentlichen Paketmanager. Vielleicht auch einmal die Grundlagen erlernen. LG
Zum Vergrößern anklicken....
Meinst'e jetzt einen Paketmanager, der per default keine Abhängigkeiten auflöst? :freak:

Wenn de schon schimpfen musst, dann über die repositories und ned über den Paketmanager.

_roman_ schrieb:
Ich habe auch die Windows Suche deaktiviert. Wenn man selbst nicht weis, wo man seine Daten ablegt, sollte man sich Gedanken machen.
Zum Vergrößern anklicken....
Pfui, du hast MS Windows benutzt! :evillol:

Zum Thema "Dateien ablegen/wiederfinden": Erklär das mal meinen Eltern ... nachdem sie "Kopie von Kopie von Kopie von [...]" bearbeitet haben, die noch als E-Mail-Anhang einer alten - sehr alten - E-Mail im Temp-Ordner gespeichert wurde. :freak:

_roman_ schrieb:
Es wird leider oft vergessen, Anfänger Distributionen, Linux Mint als Negativ Beispiel, installieren zu viel Lint.
Zum Vergrößern anklicken....
Klugscheißen geht auch ohne Deppen-Leerzeichen. Linux Mint installiert also zu viel "Lint"? Und die Hälfte deiner Posts haben zu viel "Rant".

Habe ich doch letztens erst gelesen, dass Linux nicht einsteigerfreundlich genug ist. Da ging mir der Hut hoch! Selbst Arch Linux kann mittlerweile von nahezu jedem installiert werden. Das geht nun wirklich nicht! Muss ich jetzt erst auf LFS wechseln, um meinen 1337en Linux-Stand aufrecht zu erhalten?

Kleines Späßchen! Linux Mint (DE) installiert mir persönlich auch zu viel (z.B. Multilib/i386, grub-default-overrides, etc.). Der "expert"-installer von LMDE6 ist auch ned sooo "expert". Aber immerhin keine libcue2!

Piktogramm schrieb:
Zudem dieses "Ich nutze Nische, daher gibts kaum Angreifer" ein wirklich beschissenes "Sicherheitskonzept" ist.
Zum Vergrößern anklicken....
Ich dachte in 3-4 Jahren kann ich wieder Windows 7 nutzen? :evillol:
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Piktogramm und netzgestaltung
Unter Manjaro Gnome ist es mit Update von heute früh gefixt.
 
  • Gefällt mir
Reaktionen: nazgul77 und netzgestaltung
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

coffee4free
News Schwachstelle in C-Bibliothek: Looney Tunables gefährdet zahlreiche Linux-Systeme
2 3
Antworten
55
Aufrufe
7.527
Lora
Lora
coffee4free
News Ubuntu, Debian & Co.: Schwachstelle in glibc gewährt Root-Zugriff unter Linux
2 3 4
Antworten
76
Aufrufe
5.684
Lora
Lora
SVΞN
News ChatGPT unter Linux: Gnome 43 hat seine eigene KI-Erweiterung erhalten
2 3 4
Antworten
73
Aufrufe
8.317
ich_nicht
ich_nicht
SVΞN
News Zero-Day-Exploit: PwnKit-Schwachstelle erlaubt Root-Rechte unter Linux
6 7 8
Antworten
149
Aufrufe
14.891
andy_m4
andy_m4
SVΞN
News Linux-Desktop: Gnome 42 wird dunkler und erscheint am 23. März 2022
Antworten
19
Aufrufe
4.291
nazgul77
nazgul77

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz