Seit Jahren bekannte Sicherheitslücke gibt Root-Zugriff auf fast allen Linux-Systemen
Das Problem in Polkit lässt sich laut den Forschern von Qualys trivial und komplett zuverlässig ausnutzen. Die erste Warnung im Jahr 2013 wurde übersehenEs ist eine Behauptung, die im Zusammenhang mit der Sicherheit von Open-Source-Software gerne fällt: Der Umstand, dass der Quellcode öffentlich einsehbar ist, erleichtere es auch, Lücken aufzuspüren - und diese somit früher zu melden. Ein Argument, das in der Theorie zweifellos etwas für sich hat, oft aber an der Realität scheitert. Und zwar der Realität, dass solche Projekt oftmals auch so schon viel zu wenige Entwickler mit viel zu wenig Zeit haben. Aber auch dass sich eigentlich kaum wer einfach nur zum Spaß in den Code anderer Projekte einliest, um dort nach Lücken zu suchen.
All das führt dann im schlimmsten Fall zu dem, was nun Sicherheitsforscher von Qualys aufgespürt haben: einer schweren Lücke in einem zentralen Systemdienst, die trivial ausgenutzt werden kann und den Angreifern umgehend Root-Rechte gibt - also einen uneingeschränkten Zugriff auf das angegriffene System. Vor allem aber: Diese Lücke war bereits vor Jahren entdeckt und wieder vergessen worden.
Konkret geht es um einen Fehler in Polkit, einem bei fast allen Linux-Distributionen genutzten Dienst, der für die Regelung solcher Zugriffsberechtigungen zuständig ist. Was das Ganze besonders unerfreulich macht: Laut Qualys ist die Lücke sehr schnell, sehr einfach und vor allem zu hundert Prozent zuverlässig auszunutzen - etwas, das bei Sicherheitslücken oft nicht der Fall ist. Angriffspunkt ist dabei das Programm pkexec, der eigentliche Polkit-Daemon muss dafür gar nicht laufen.
Mehr dazu findest Du auf derstandard.at
Kurze URL:
Das könnte Dich auch interessieren:
Die seit einem Update bestehenden Probleme sorgen dafür, dass viele betroffene Nutzer auch die ID Austria nicht verwenden können
Anfällig sind nach Angaben der Entdecker der Angriffstechnik die Apple-SoCs M1, M2 und M3. Abhilfemaßnahmen kosten voraussichtlich viel Leistung.
Ähnliche News:
Wie der Staat mit maschinellem Lernen seit Jahren Millionen einspart
Pornhub, Xvideos und Stripchat: Strenge EU-Regeln für drei große Pornoseiten treten in Kraft
So sieht die neue Login-Seite von Google aus
Hyundai entwickelt Klappräder zum seitlichen Einparken
Neues "Halo" seit über einem Jahr in Arbeit
Bitcoin überspringt erstmals seit April 2022 45.000-Dollar-Marke
Große Pornoseiten müssen Altersverifikation einführen
Klarna schreibt erstmals seit Jahren Gewinn
Offene Forschungsdatenbank hat seit einem Jahr keine neuen Daten bekommen
Kubb Mini: Null-Dezibel-PC mit nur acht Zentimeter Seitenlänge vorgestellt
Pornhub, Xvideos und Stripchat: Strenge EU-Regeln für drei große Pornoseiten treten in Kraft
So sieht die neue Login-Seite von Google aus
Hyundai entwickelt Klappräder zum seitlichen Einparken
Neues "Halo" seit über einem Jahr in Arbeit
Bitcoin überspringt erstmals seit April 2022 45.000-Dollar-Marke
Große Pornoseiten müssen Altersverifikation einführen
Klarna schreibt erstmals seit Jahren Gewinn
Offene Forschungsdatenbank hat seit einem Jahr keine neuen Daten bekommen
Kubb Mini: Null-Dezibel-PC mit nur acht Zentimeter Seitenlänge vorgestellt
Weitere News:
Tesla schaltet mehr Reichweite gegen Geld frei
Livestream: Boeing Starliner hebt erstmals mit Astronauten ab
Provider nutzt IPv4-Adressen als Kreditabsicherung
Mediatheken-Betriebssystem als Open Source geplant
Microsoft pausiert neue Funktionen für Copilot
Google-Fit-APIs werden deaktiviert
Avast muss für DSGVO-Verstöße Millionenstrafe zahlen
Hubble Network: Bluetooth-Verbindung im Weltraum erfolgreich getestet
SpaceX stellt Anzug für Weltraumspaziergänge vor
Unternehmen kombiniert riesige Druckluft-Batterie mit Wasserkraft
Livestream: Boeing Starliner hebt erstmals mit Astronauten ab
Provider nutzt IPv4-Adressen als Kreditabsicherung
Mediatheken-Betriebssystem als Open Source geplant
Microsoft pausiert neue Funktionen für Copilot
Google-Fit-APIs werden deaktiviert
Avast muss für DSGVO-Verstöße Millionenstrafe zahlen
Hubble Network: Bluetooth-Verbindung im Weltraum erfolgreich getestet
SpaceX stellt Anzug für Weltraumspaziergänge vor
Unternehmen kombiniert riesige Druckluft-Batterie mit Wasserkraft
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(0)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar angestimmt...
;-)
© by Ress Design Group, 2001 - 2024