Seit Jahren bekannte Sicherheitslücke gibt Root-Zugriff auf fast allen Linux-Systemen
Das Problem in Polkit lässt sich laut den Forschern von Qualys trivial und komplett zuverlässig ausnutzen. Die erste Warnung im Jahr 2013 wurde übersehenEs ist eine Behauptung, die im Zusammenhang mit der Sicherheit von Open-Source-Software gerne fällt: Der Umstand, dass der Quellcode öffentlich einsehbar ist, erleichtere es auch, Lücken aufzuspüren - und diese somit früher zu melden. Ein Argument, das in der Theorie zweifellos etwas für sich hat, oft aber an der Realität scheitert. Und zwar der Realität, dass solche Projekt oftmals auch so schon viel zu wenige Entwickler mit viel zu wenig Zeit haben. Aber auch dass sich eigentlich kaum wer einfach nur zum Spaß in den Code anderer Projekte einliest, um dort nach Lücken zu suchen.
All das führt dann im schlimmsten Fall zu dem, was nun Sicherheitsforscher von Qualys aufgespürt haben: einer schweren Lücke in einem zentralen Systemdienst, die trivial ausgenutzt werden kann und den Angreifern umgehend Root-Rechte gibt - also einen uneingeschränkten Zugriff auf das angegriffene System. Vor allem aber: Diese Lücke war bereits vor Jahren entdeckt und wieder vergessen worden.
Konkret geht es um einen Fehler in Polkit, einem bei fast allen Linux-Distributionen genutzten Dienst, der für die Regelung solcher Zugriffsberechtigungen zuständig ist. Was das Ganze besonders unerfreulich macht: Laut Qualys ist die Lücke sehr schnell, sehr einfach und vor allem zu hundert Prozent zuverlässig auszunutzen - etwas, das bei Sicherheitslücken oft nicht der Fall ist. Angriffspunkt ist dabei das Programm pkexec, der eigentliche Polkit-Daemon muss dafür gar nicht laufen.
Mehr dazu findest Du auf derstandard.at
Kurze URL:
Das könnte Dich auch interessieren:
Die Seite "Europol for Experts" ist seit Tagen offline. Darüber tauschen sich Ermittler aus.
Die seit einem Update bestehenden Probleme sorgen dafür, dass viele betroffene Nutzer auch die ID Austria nicht verwenden können
Ähnliche News:
Wie der Staat mit maschinellem Lernen seit Jahren Millionen einspart
Pornhub, Xvideos und Stripchat: Strenge EU-Regeln für drei große Pornoseiten treten in Kraft
M-Chips von Apple: Kryptografische Schlüssel per Seitenkanalangriff auslesbar
So sieht die neue Login-Seite von Google aus
Hyundai entwickelt Klappräder zum seitlichen Einparken
Neues "Halo" seit über einem Jahr in Arbeit
Bitcoin überspringt erstmals seit April 2022 45.000-Dollar-Marke
Große Pornoseiten müssen Altersverifikation einführen
Klarna schreibt erstmals seit Jahren Gewinn
Offene Forschungsdatenbank hat seit einem Jahr keine neuen Daten bekommen
Pornhub, Xvideos und Stripchat: Strenge EU-Regeln für drei große Pornoseiten treten in Kraft
M-Chips von Apple: Kryptografische Schlüssel per Seitenkanalangriff auslesbar
So sieht die neue Login-Seite von Google aus
Hyundai entwickelt Klappräder zum seitlichen Einparken
Neues "Halo" seit über einem Jahr in Arbeit
Bitcoin überspringt erstmals seit April 2022 45.000-Dollar-Marke
Große Pornoseiten müssen Altersverifikation einführen
Klarna schreibt erstmals seit Jahren Gewinn
Offene Forschungsdatenbank hat seit einem Jahr keine neuen Daten bekommen
Weitere News:
Starlink hat unter dem Sonnensturm gelitten
Hacker wollten 200 Millionen US-Dollar Lösegeld von Boeing
Linux-Kernel 6.9 ist veröffentlicht
Provisionen im App Store: Richterin kritisiert Apples Taktik
EU treibt Klage gegen Microsoft wegen Teams voran
Booking.com gilt als Gatekeeper-Plattform
Google Australien löscht versehentlich Clouddaten eines Pensionsfonds
Kungpeng Pro: Orangepi bringt Bastelrechner mit mysteriöser Huawei-CPU
OpenAI stellt doch keine Suchmaschine vor, könnte Sprachassistent bringen
Hacker legen Europol-Seite lahm und stehlen Daten
Hacker wollten 200 Millionen US-Dollar Lösegeld von Boeing
Linux-Kernel 6.9 ist veröffentlicht
Provisionen im App Store: Richterin kritisiert Apples Taktik
EU treibt Klage gegen Microsoft wegen Teams voran
Booking.com gilt als Gatekeeper-Plattform
Google Australien löscht versehentlich Clouddaten eines Pensionsfonds
Kungpeng Pro: Orangepi bringt Bastelrechner mit mysteriöser Huawei-CPU
OpenAI stellt doch keine Suchmaschine vor, könnte Sprachassistent bringen
Hacker legen Europol-Seite lahm und stehlen Daten
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(0)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar angestimmt...
;-)
© by Ress Design Group, 2001 - 2024