In den letzten Wochen ist die Sicherheit des Linux-Desktops zunehmend in die Kritik gekommen. Zentrale Services wie die Desktop-Suche Tracker oder auch das Multimedia-Framework GStreamer ließen zentrale Schutzmaßnahmen vermissen – mit für die Sicherheit verheerenden Konsequenzen, lautet die Kritik.

Nun ist es einmal mehr GStreamer, das zum Angriffsziel wird: Der Sicherheitsforscher Chris Evans hat eine kritische Lücke in einer der von GStreamer genutzten Bibliotheken aufgedeckt. Konkret geht es um die libgme, die für die Emulation der Musik klassischer Spielekonsolen genutzt wird.

Drive-by-Exploit

Angreifer können nun über eine manipulierte SPC-Datei (das Format wurde für Nintendos Super Nintendo Entertainment System entworfen, Anm.), einen Speicherfehler auslösen, in dessen Folge beliebiger Code eingeschleust werden kann. Wird die Datei mit einer Endung wie .mp3 oder .flac getarnt, wird sie zudem automatisch geöffnet. Dies hat deswegen besonders unangenehme Konsequenzen, da GStreamer auch zur Wiedergabe von Tönen im Browser genutzt wird. Eine entsprechend manipulierte Tondatei könnte also in einer Webseite platziert werden, womit ein sogenannter "Drive-by-Exploit" möglich wird, bei dem ein System alleine durch das Besuchen einer Webseite infiziert wird.

Eine Demonstration des Exploits unter Fedora 25.
Chris Evans

Schrittweise

Einmal auf dem System eingedrungen, hätte der Angreifer Zugriff auf all die lokalen Daten der Nutzer – also von privaten Fotos bis zu Dokumenten und Browser-Cookies, die für weiter Angriffe genutzt werden können. Für die vollständige Übernahme des Systems würde es dann allerdings noch eines zweiten Fehlers zur lokalen Rechteausweitung bedürfen.

Keine Sandbox

Besonders unangenehm wird die Angelegenheit dadurch, dass es sich dabei um einen Zero-Day-Exploit handelt, Evans hat sich also dazu entschlossen, den Fehler vor der Verfügbarkeit eines Bugfixes öffentlich zu machen. Der Forscher argumentiert, dass er damit die Aufmerksamkeit auf grundlegende Sicherheitsprobleme lenken wolle, etwa dass solche Dienste nicht extra abgesichert in einer Sandbox laufen, wie es eigentlich der Fall sein sollte.

Der Fehler lässt sich unter anderem in aktuellen Versionen von Fedora und Ubuntu ausnutzen, wie Evans demonstriert. Allerdings ist die libgme (beziehungsweise das Paket Game Music Emu) bei beiden nicht von Haus aus installiert, insofern sind Default-Installationen also nicht betroffen. Freilich geht es dem Forscher ohnehin mehr darum, die strukturellen Defizite aufzuzeigen. (apo, 16.12.2016)