Gnome-Desktop gefährdet: Schwachstelle erlaubt Schadcodeausführung unter Linux
Eine neu aufgedeckte Schwachstelle in der libcue-Bibliothek gefährdet vor allem jene Linux-Systeme, auf denen die weitverbreitete Desktopumgebung Gnome zum Einsatz kommt. Nur ein einziger falscher Klick im Web kann zur Ausführung von Schadcode führen. Ein Patch ist vorhanden und sollte zeitnah installiert werden.
Von libcue über Tracker Miners zu Gnome
Aufgedeckt wurde die als CVE-2023-43641 registrierte Schwachstelle in libcue von einem Sicherheitsforscher namens Kevin Backhouse. Wie der Entdecker in einem Blogbeitrag auf GitHub erklärt, handelt es sich um eine Speicherkorruptionsschwachstelle in der quelloffenen libcue-Bibliothek, die es böswilligen Akteuren ermöglicht, Schadcode auf einem Zielsystem auszuführen.
Aufgabe von libcue ist es, sogenannte Cuesheets zu parsen. Dabei handelt es sich um ein Metadatenformat zur Beschreibung des Layouts der Tracks auf einer CD. Die anfällige Bibliothek wird unter anderem von der Suchmaschine Tracker Miners verwendet, die standardmäßig in der Gnome-Desktopumgebung enthalten ist und folglich auf einer Vielzahl von Linux-Systemen zum Einsatz kommt.
Nur ein Klick im Web kann Codeausführung auslösen
Die Art und Weise, wie libcue von Tracker Miners verwendet wird, scheint den Missbrauch der Schwachstelle durch Angreifer allerdings zu vereinfachen. Laut Backhouse sorge die Änderung oder das Hinzufügen einer Datei im Home-Verzeichnis des Nutzers bereits dafür, dass Tracker Miners den Index entsprechend aktualisiere. Wenn also ein Anwender durch nur einen einzigen Klick auf einer Webseite eine speziell präparierte .cue-Datei herunterlade, sodass diese im Download-Verzeichnis des Anwenders lande, werde die Datei automatisch von Tracker Miners unter Einsatz von libcue analysiert, was schließlich zur Ausführung von darin eingebettetem Schadcode führe.
Wie das in der Praxis aussehen kann, hat Backhouse in einem kurzen Videoclip demonstriert, in dem er mit einem einfachen Klick auf einer Webseite eine Datei herunterlädt, die CVE-2023-43641 ausnutzt, um einen Befehl auszuführen, der schließlich eine Taschenrechner-App startet. Zu finden ist das Video im Blogbeitrag sowie in einem X-Post des Forschers.
Ein Patch ist bereits verfügbar
Zumindest für Ubuntu steht bereits ein Patch bereit. Für Debian lässt dieser derzeit noch auf sich warten, sollte aber auch in Kürze folgen. Im Repository von libcue wurde der Fix erst gestern Abend eingespielt. „Wenn Sie Gnome benutzen, aktualisieren Sie bitte noch heute“, mahnt der Forscher diesbezüglich. Für Ubuntu 23.04 und Fedora 38 habe er bereits sehr zuverlässig funktionierende PoC-Exploits (Proof of Concept) erstellt. Bevor er diese mit allen technischen Details veröffentliche, wolle er den Anwendern aber noch Zeit einräumen, um ihre Systeme zu aktualisieren.
Um die Schwachstelle auf weiteren Linux-Distributionen auszunutzen, seien geringfügige Anpassungen am PoC erforderlich. Für andere Systeme als die genannten Versionen von Ubuntu und Fedora habe Backhouse zwar bisher keine PoCs erstellt, jedoch gehe er davon aus, „dass alle Distributionen, auf denen Gnome läuft, potenziell angreifbar sind“.
In einem zukünftigen Blogbeitrag will der Forscher sämtliche Details zur Schwachstelle sowie zur Funktionsweise des vollständigen PoC veröffentlichen. Wer jetzt schon testen wolle, ob sein System anfällig ist, könne dies anhand einer via GitHub bereitgestellten Datei tun, die eine vereinfachte Version des Exploits enthalte. Diese verursache lediglich einen harmlosen Absturz.
Bastelfreudigen Anwendern, die den vollständigen PoC testen möchten, rät Backhouse derweil, eine ungepatchte VM mit Ubuntu 23.04 oder Fedora 38 zu speichern. Darauf lasse sich das Problem dann reproduzieren, sobald er alle weiteren Details zu der libcue-Schwachstelle veröffentliche.