Sicherheitslücken

[geier22]

Meldung im derstandard.at
Zero-Day-Exploit nutzt Fehler in Medien-Framework GStreamer

Konkret geht es dabei - wie im Artikel beschrieben um libgme0, die bei mir auch installiert ist) --> lässt sich nur schwer deinstallieren,
da eine Menge deinstalliert wird

Code: Alles auswählen

hans@sparkyxfce:~$ apt-cache depends libgme0
libgme0
  Hängt ab von: libc6
  Hängt ab von: libgcc1
  Hängt ab von: libstdc++6
  Hängt ab von: zlib1g
hans@sparkyxfce:~$ apt-cache rdepends libgme0
libgme0
Reverse Depends:
  libavformat57
  vlc-plugin-base
  qmmp
  mpd
  gstreamer1.0-plugins-bad
  libavformat57
  xmms2-plugin-gme
  vlc-plugin-base
  qmmp
  mpd
  gstreamer1.0-plugins-bad
  libgme-dev

Code: Alles auswählen

# apt purge libgme0
Die folgenden Pakete werden ENTFERNT:
  ffmpeg* gimp* gstreamer1.0-plugins-bad* kdf* libavdevice57* libavfilter6* libavformat57*
  libgegl-0.3-0* libgme0* libk3b6-extracodecs* libkf5notifications5* mpv* phonon4qt5*
  phonon4qt5-backend-vlc* radiotray* unpaper* vlc* vlc-plugin-base*
0 aktualisiert, 0 neu installiert, 18 zu entfernen und 0 nicht aktualisiert.

Das weiter erwähnte tracker hab ich sowieso in gnome schon gelöscht

und...
meine Browser laufen sowieso in der sanbbox (firejail), daher ist ein ausspähen von /home bei mir schlecht möglich

[sbruder]

Also soweit ich das richtig mitbekommen habe funktioniert das nicht, wenn der tracker deaktiviert ist. In deinem Fall (firejail) wäre sogar im Falle eines direkten Browser-Abspieles und einer dadurch ausgelösten Infektion die Grenzen innerhalb des Containers.

[geier22]

in deinem Fall (firejail) wäre sogar im Falle eines direkten Browser-Abspieles und einer dadurch ausgelösten Infektion die Grenzen innerhalb des Containers.

Richtig
Nur sieht der Browser nur ein Verzeichnis (außer natürlich seinen eigenen) : Downloads (extra Verzeichnis im Container)

[dufty2]

Wenn man Deiner Signatur glauben schenken darf, benutzt Du stretch (testing) und da ist das Paket noch nicht gefixt, bei stable und unstable (libgme0 (0.6.0-4)) aber schon, wird wohl in den nächsten Tagen noch kommen.
Das ist ein gewisser Nachteil von Testing (manchmal installier' ich bei mir wichtig erscheinenden Paketen resp. Sicherheitslücken aus sid (unstable) schon mal 'vorab').

Dieser "Drive-by-Exploit" funktioniert so (vollautomatisches Runterladen ohne Einwirkung des Users) nur beim chrome-/chromium-Browser. Mit dem g**gle-Zeug konnt' ich mich noch nie so anfreunden

Hanno Böck hat auf LWN auch ein paar Zeilen (auf Englisch) dazu geschrieben: https://lwn.net/Articles/708196/

[geier22]

@dufty2 : Danke für den Link. Der Artikel ist sehr aufschlussreich und regt mal wieder zum Nachdenken über Sicherheit und den Schutz der persönlichen Daten an, womit ich ausdrücklich nicht nur die Nummer meines Bankkontos meine
Auch das immer angeführte Argument, der "Bösewicht" muss ja erst mal root werden können um den Computer kompromittieren zu können, wird hier eindringlich widerlegt.
Ich für meinen Teil benutze weder baloo noch tracker und überlege jetzt, ob ich recoll nicht Sandboxen sollte, da dies ein ähnlich mächtigen Tool darstellt, aber gefühlt besser beherrschbar ist

For a desktop search, being able to parse the metadata of a wide variety of different file types is a desirable feature. But security-wise it looks like a recipe for disaster.
Frei mit Googles Hilfe übersetzt:
Für eine Desktop-Suche ist die Möglichkeit, die Metadaten einer Vielzahl unterschiedlicher Dateitypen zu parsen, eine wünschenswerte Eigenschaft. Aber aus Sicherheits -Sicht sieht es aus wie ein Rezept für eine Katastrophe.

Zu den Sicherheitslücken zählen auch die zahlreichen "histories" die jedes Programm anlegt. Zumindest die einfach ohne Aufwand erreichbaren werden bei mir von bleachbit bei jedem Start automatisch gelöscht. Als root lasse ich bleachbit ca. 1 mal pro Woche laufen.

[DeletedUserReAsG]

Auch das immer angeführte Argument, der "Bösewicht" muss ja erst mal root werden können um den Computer kompromittieren zu können, wird hier eindringlich widerlegt.

Dass ein Angreifer auf dem Rechner die Rechte bekommt, unter denen das exploitete Progamm läuft, ist nun auch weder wirklich neu, noch allzu überraschend. Um tatsächlich das System, und nicht nur die Userdaten, kompromittieren zu können, muss er weiterhin Rootrechte erlangen.

Sandboxes sind ’ne schöne Sache, allerdings muss man da schauen, was man möchte. Einfache, anwendungsbasierte, Sandboxes würde ich nun aus dem Bauch heraus nicht für zu sicher halten, was lokale Exploits zur Rechteeskalation angeht. Dann lieber mehr Aufwand, und einen ausgewachsenen Container (dann hat derjenige halt Rootrechte darin, aber es ist immer noch nicht einfach möglich, das eigentliche System zu kompromittieren), oder eine komplette VM (hoher Overhead, hoher Aufwand, aber noch höhere Sicherheit für das Hostsystem).