Der Sicherheitsexperte Donncha O'Cearbhaill hat eine Linux-Sicherheitslücke
gefunden, welche es erlauben soll, Schadcode in das System zu schmuggeln und auszuführen. Als Portal für den Schadcode kann der Crash-Reporter von Ubuntu benutzt werden, welcher eigentlich nach einem Systemabsturz diverse Informationen anzeigen und so die Suche nach dem Fehler erleichtern sollte. Um die Schadsoftware auf Ubuntu zu platzieren, wird eine gefälschte .crash-Datei benötigt, welche automatisch vom Crash-Reporter geöffnet wird und somit auch gleich den Schadcode ausführt. Unter anderem sollen durch gefälschte .crash-Dateien auch Root-Zugriffe auf Ubuntu erlangt werden können. Die Lücke findet sich in allen Ubuntu-Versionen seit der Ausgabe 12.10, soll aber mit dem neuesten System-Update bereits behoben worden sein.
Darüber hinaus wurde bekannt, dass ein Leck im Audio-File einer alten Nintendo-Emulation ebenfalls ein Sicherheitsrisiko für die Linux-Distributionen Fedora 25 und Ubuntu darstellt. Gemäss dem Sicherheitsforscher Chris Evans geht es um
eine Lücke in der Software Game Music Emulation und Libgme, über welche Audio-Files aus älteren Spielkonsolen auf Linux emuliert werden können. Die Audio-Dateien kommen im ursprünglichen SPC-Format, das früher beispielsweise im Super Nintendo Entertainment System zum Einsatz kam. Der Angreifer muss lediglich die Endung dieser Datei von .spc auf .flac oder .mp3 ändern und das potentielle Opfer dazu bringen, die Datei auszuführen. Somit wird beispielsweise eine Webpage oder ein Programm geöffnet. Anschliessend sollen Angreifer die Möglichkeit haben, jeden beliebigen Code auf dem System auszuführen.
(asp)