In der Crash-Reporting-Software Apport, die in Ubuntu Desktop standardmäßig installiert ist, hat der Sicherheitsforscher Donncha O'Cearbhaill eine Lücke gefunden. Ein Angreifer könnte über eine manipulierte .crash-Datei beliebigen Python-Code mit den Rechten des angemeldeten Users zur Ausführung bringen. Er könnte sogar die Zustimmung des Users erschleichen, Code mit Root-Rechten auszuführen.

Seit dem 14. Dezember ist der Fehler behoben. O'Cearbhaill beschreibt in seinem Blog-Beitrag Reliably compromising Ubuntu desktops by attacking the crash reporter, wie er die Lücke gefunden hat, und demonstriert sie in einem Video. Zudem hat er den Proof of Concept für einen Angriff über diese Lücke auf GitHub veröffentlicht.

Weniger als eine Woche verging zwischen dem Bekanntmachen des Fehlers und der Behebung und O'Cearbhaill lobt die schnelle Reaktion der Entwickler. Im Moment ist es erheblich lukrativer, Exploits zu verkaufen statt Sicherheitslücken zu melden, warnt er. Von einem Exploit-Händler seien ihm für diese Lücke 10.000 US-Dollar angeboten worden.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE