Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
News Gnome-Desktop gefährdet: Schwachstelle erlaubt Schadcodeausführung unter Linux
sedot
Rear Admiral
- Registriert
- Nov. 2017
- Beiträge
- 5.856
Tracker wird auch anderswo verwendet und ist nicht das Problem, sondern libcue. Schreibt der Sicherheitsforscher auch so.up.whatever schrieb:standard Indexer
Der Service läuft bei mir auch im Hintergrund obwohl ich eine andere DE nutze. Insofern würde ich mal pessimistisch davon ausgehen, dass nicht nur Gnome betroffen sein könnte.
h00bi
Fleet Admiral
- Registriert
- Aug. 2006
- Beiträge
- 21.463
Echt jetzt?
Wer hätte denn auch denken können, dass das anklicken / runterladen von Malware den Rechner verseuchen kann.
OMG 😱
Soll das das das das neue CB Niveau werden? Clickbait Battle mit golem.de?Wenn also ein Anwender durch nur einen einzigen Klick auf einer Webseite eine speziell präparierte .cue-Datei herunterlade, sodass diese im Download-Verzeichnis des Anwenders lande
Wer hätte denn auch denken können, dass das anklicken / runterladen von Malware den Rechner verseuchen kann.
OMG 😱
AlphaKaninchen
Commander
- Registriert
- Mai 2018
- Beiträge
- 2.935
Vor kurzem erst darüber nachgedacht das es eigentlich vollkommen bescheuert ist das mein Browser in einer Sandbox läuft bzw selbst eine ist, die Indexierung und Vorschau Erstellung aber nicht... Und siehe da...
- Registriert
- Okt. 2020
- Beiträge
- 401
Soweit ich weiß gibt es gut funktionierende responsible disclosure Prozesse, die zumindest zwischen den weit verbreiteten Distos koordiniert sind. Bei der glibc-Schwachstelle von letzter Woche hat das z.B. gut funktioniert.Piktogramm schrieb:Da die verschiedenen Distributionen alle unterschiedliche Prozesse pflegen oder teils gar keine geschlossenen Mailinglisten für Security haben, ist das keinem Maintainer irgend eines Softwareprojekts zuzumuten.
Als Maintainer muss man also nicht zwangsläufig mit allen Distros in Kontakt treten.
rg88
Fleet Admiral
- Registriert
- Feb. 2015
- Beiträge
- 35.148
Echt jetzt? Sind wir hier im Chip-Forum?h00bi schrieb:Echt jetzt?
Soll das das das das neue CB Niveau werden? Clickbait Battle mit golem.de?
Wer hätte denn auch denken können, dass das anklicken / runterladen von Malware den Rechner verseuchen kann.
OMG 😱
Wie wärs, wenn du erstmal den ganzen Text liest anstatt dich hier so künstlich aufzuregen?
Die Art und Weise, wie libcue von Tracker Miners verwendet wird, scheint den Missbrauch der Schwachstelle durch Angreifer allerdings zu vereinfachen. Laut Backhouse sorge die Änderung oder das Hinzufügen einer Datei im Home-Verzeichnis des Nutzers bereits dafür, dass Tracker Miners den Index entsprechend aktualisiere. Wenn also ein Anwender durch nur einen einzigen Klick auf einer Webseite eine speziell präparierte .cue-Datei herunterlade, sodass diese im Download-Verzeichnis des Anwenders lande, werde die Datei automatisch von Tracker Miners unter Einsatz von libcue analysiert, was schließlich zur Ausführung von darin eingebettetem Schadcode führe.
Das ist der springende Punkt, den du offensichtlich nicht verstanden hast...
Üblicherweise sollte ein reines herunterladen einer Datei eben NICHT zu einer Infektion des Rechners führen.
HiveTyrant
Lt. Junior Grade
- Registriert
- Nov. 2018
- Beiträge
- 449
Je mehr Leute auf 'FU Microsoft, jetzt erst recht Linux' springen, mal von den ganzen Webservern (und nicht vergessen, Android. Auch ein Linux.) abgesehen, desto lohnender wird es für Cyberkriminelle, nach Schwachstellen zu suchen.
Linux mag zwar nicht ganz so anfällig sein, aber ich erinnere mich daran, das vor einigen Jahren ein paar Löcher in der glibc gefunden wurden, über die man auch root-Zugang bekommen konnte. Und diese Schwachstelle war seit den 90ern drin.
Linux mag zwar nicht ganz so anfällig sein, aber ich erinnere mich daran, das vor einigen Jahren ein paar Löcher in der glibc gefunden wurden, über die man auch root-Zugang bekommen konnte. Und diese Schwachstelle war seit den 90ern drin.
Echte, effektive Nutzertrennung gibt es hauptsächlich auf Servern und selten auf Privatrechnern. Alle Distributionen dieEdwinOdesseiron schrieb:Gibt aber keine privilege escalation oder? Ich meine mit Userrechten genug Unsinn machen, aber besser als mit root rechten.
sudo
ohne sehr restriktive sudoers
Datei haben defacto keine effektitve Nutzertrennung (man kann trivial sudo
mit Nutzerrechten aliasen bzw. eine andere binary ausführen lassen und muss dann nur darauf warten, dass der Nutzer sudo
verwendet). Soweit ich weiß betrifft das alle gängigen Distros.Davon abgesehen passiert auf einem Privatrechner in der Regel das interessante auf der Ebene des Nutzers (z.B. öffnen des Passwort-Safes), von daher hat eine privilege escalation hier auch nur einen verringerten Mehrwert.
up.whatever schrieb:Dass der standard Indexer des Gnome Desktops diese Library standardmäßig verwendet hat gar nichts mit dem Gnome Desktop zu tun?
Hat man einen ordentlichen Paketmanager kann man auch gewisse Komponenten nicht installieren.
Hat man eine ordentlichen Paketmanager kann man auch selbst Pakete umschreiben. Tracker war früher keine Kernkomponente.
Also, wo ist jetzt die richtigere Aussage?
Oder will man jetzt meine Aussage in Abfrage stellen, dass es eine library ist, welche von Software verwendet wird?
Vielleicht weniger mit Anfänger Distros sich beschäftigen und sich eine Distro suchen mit einem ordentlichen Paketmanager. Vielleicht auch einmal die Grundlagen erlernen. LG
Ich hatte Jahrelang Gnome ohne Tracker installiert. Ich habe auch die Windows Suche deaktiviert. Wenn man selbst nicht weis, wo man seine Daten ablegt, sollte man sich Gedanken machen.
Für Windows gibt es ja auch so eine Software für ich weis nicht mehr wo meine DAten liegen, nennt sich everything.
Es soll ja Leute geben, die Drucker Software und Scanner Software automatisch installieren, Fax Software usw. obwohl kein Fax Gerät, Drucker, Scanner vorhanden ist. Soll alles vorkommen. Oder Brennprogramme installieren, obwohl gar kein optisches Laufwerk verbaut ist.
Ergänzung ()
HiveTyrant schrieb:nach Schwachstellen zu suchen.
Es wird so viel gepatcht. Die Patche haben einen Grund.
Es freut mich, das Computerbase das Thema Lücken mehr in den Vordergrund stellt.
Es freut mich, das Computerbase sich mehr mit GNU Linux beschäftigt.
Wobei ich mich Frage, wo das Problem mit dem Betriebssystem Kern liegt, wenn eine Library betroffen ist. Grundlagenkenntnisse kann man sich erwarten, Grundlagenkenntisse und sinnerfassendes Verständnis muss man sich aber nicht erwarten von Lesern und Schreiber von Artikel.
Linux vs GNU
--
Es wird leider oft vergessen, Anfänger Distributionen, Linux Mint als Negativ Beispiel, installieren zu viel Lint.
Jede Komponente die zu viel installiert ist, hat eine ganze Liste von Problemen und Kosten. Der Rest ist Hausübung zum Nachdenken, warum ich das geschrieben habe.
Ergänzung ()
SE. schrieb:Tracker wird auch anderswo verwendet und ist nicht das Problem, sondern libcue. Schreibt der Sicherheitsforscher auch so.
Ergänzung ()
rg88 schrieb:Üblicherweise sollte ein reines herunterladen einer Datei eben NICHT zu einer Infektion des Rechners führen.
Deshalb denke ich mir, nur gewisse Personen sollten solche Fachartikel für Laien schreiben.
Und der Text sollte sich auf 4 Wörter Sätze beschränken, man sieht es leider auf den letzten 2 Seiten. Es fehlt das technische sinnerfassende Verständnis.
CB hat auch die moralische Verantwortung Leute zu bilden - auch beim Sinnerfassenden LEsen und Denken.
Zuletzt bearbeitet:
Randnotiz
Lt. Commander
- Registriert
- Okt. 2023
- Beiträge
- 1.357
Willkommen in der realen Welt._roman_ schrieb:Es freut mich, das Computerbase sich mehr mit GNU Linux beschäftigt.
Wobei ich mich Frage, wo das Problem mit dem Betriebssystem Kern liegt, wenn eine Library betroffen ist. Grundlagenkenntnisse kann man sich erwarten, Grundlagenkenntisse und sinnerfassendes Verständnis muss man sich aber nicht erwarten von Lesern und Schreiber von Artikel.
Linux vs GNU
--
Es wird leider oft vergessen, Anfänger Distributionen, Linux Mint als Negativ Beispiel, installieren zu viel Lint.
Jede Komponente die zu viel installiert ist, hat eine ganze Liste von Problemen und Kosten. Der Rest ist Hausübung zum Nachdenken, warum ich das geschrieben habe.
Die Leute interessiert herzlich wenig, ob es sich um den Kernel oder Userspace handelt, da es in allen Fällen um Linux geht.
ComputerBase berichtet darüber, weil es wichtig ist, über Sicherheitslücken und Gefahren zu berichten, insbesondere wenn es von einem Betriebssystem (deal with it) unzählige Varianten gibt und immer mehr Personen sich an Linux versuchen, insbesondere durch Geräte wie dem SteamDeck.
netzgestaltung
Captain
- Registriert
- Jan. 2020
- Beiträge
- 3.612
Also Sicherheitslücken gibts halt einfach überall immer wieder(Checkt mal Chrome/FF Updates). die frage ist doch, wie damit umgegangen wird und hier bei Linux fühl ich mich damit im Normalfall einfach gut aufgehoben. Üblicherweise gibts das Update vor Veröffentlichungen, auch wenn es hier mal anders ist - aber es wird sicher nicht lange dauern.
sedot
Rear Admiral
- Registriert
- Nov. 2017
- Beiträge
- 5.856
Ein Paketmanager sollte nicht bevormunden 😉_roman_ schrieb:Hat man einen ordentlichen Paketmanager kann man auch gewisse Komponenten nicht installieren.
roman, du hast schon Recht teilweise, wirklich, aber es wäre gut wenn du mal deine Perspektive veränderst oder reflektierst. Es gibt Menschen und/oder Plattformen mit anderen Prioritäten aus den verschiedensten Gründen. Kannst du doof finden, ist aber so.
Du hättest jetzt auch produktiv darauf hinweisen können wie der service (vorübergehend) deaktiviert wird, nicht?
edit: tracker hat ein verständliches FAQ: https://tracker.gnome.org/faq/
Zuletzt bearbeitet:
netzgestaltung
Captain
- Registriert
- Jan. 2020
- Beiträge
- 3.612
Vor 4 Std gabs ein Update in Fedora Paket "tracker-miners-3.5.3-1.fc38.x86_64"
https://www.linuxcompatible.org/story/fedora-38-update-trackerminers3531fc38/
https://www.linuxcompatible.org/story/fedora-38-update-trackerminers3531fc38/
Zuletzt bearbeitet:
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 9.252
Der Zug ist lange abgefahren. Der Umstand, dass Linux und das Ökosystem drumherum auf Servern, IoT und dem embedded Kram wie Autos weit verbreitet ist, hat schon lange dafür gesorgt, dass kriminelles Potential genutzt wird. Zudem dieses "Ich nutze Nische, daher gibts kaum Angreifer" ein wirklich beschissenes "Sicherheitskonzept" ist.HiveTyrant schrieb:Je mehr Leute auf 'FU Microsoft, jetzt erst recht Linux' springen, mal von den ganzen Webservern (und nicht vergessen, Android. Auch ein Linux.) abgesehen, desto lohnender wird es für Cyberkriminelle, nach Schwachstellen zu suchen.
Meinst'e jetzt einen Paketmanager, der per default keine Abhängigkeiten auflöst?_roman_ schrieb:Hat man einen ordentlichen Paketmanager kann man auch gewisse Komponenten nicht installieren.
Vielleicht weniger mit Anfänger Distros sich beschäftigen und sich eine Distro suchen mit einem ordentlichen Paketmanager. Vielleicht auch einmal die Grundlagen erlernen. LG
Wenn de schon schimpfen musst, dann über die repositories und ned über den Paketmanager.
Pfui, du hast MS Windows benutzt!_roman_ schrieb:Ich habe auch die Windows Suche deaktiviert. Wenn man selbst nicht weis, wo man seine Daten ablegt, sollte man sich Gedanken machen.
Zum Thema "Dateien ablegen/wiederfinden": Erklär das mal meinen Eltern ... nachdem sie "Kopie von Kopie von Kopie von [...]" bearbeitet haben, die noch als E-Mail-Anhang einer alten - sehr alten - E-Mail im Temp-Ordner gespeichert wurde.
Klugscheißen geht auch ohne Deppen-Leerzeichen. Linux Mint installiert also zu viel "Lint"? Und die Hälfte deiner Posts haben zu viel "Rant"._roman_ schrieb:Es wird leider oft vergessen, Anfänger Distributionen, Linux Mint als Negativ Beispiel, installieren zu viel Lint.
Habe ich doch letztens erst gelesen, dass Linux nicht einsteigerfreundlich genug ist. Da ging mir der Hut hoch! Selbst Arch Linux kann mittlerweile von nahezu jedem installiert werden. Das geht nun wirklich nicht! Muss ich jetzt erst auf LFS wechseln, um meinen 1337en Linux-Stand aufrecht zu erhalten?
Kleines Späßchen! Linux Mint (DE) installiert mir persönlich auch zu viel (z.B. Multilib/i386, grub-default-overrides, etc.). Der "expert"-installer von LMDE6 ist auch ned sooo "expert". Aber immerhin keine libcue2!
Ich dachte in 3-4 Jahren kann ich wieder Windows 7 nutzen?Piktogramm schrieb:Zudem dieses "Ich nutze Nische, daher gibts kaum Angreifer" ein wirklich beschissenes "Sicherheitskonzept" ist.
Zuletzt bearbeitet:
fixedwater
Rear Admiral
- Registriert
- Feb. 2018
- Beiträge
- 5.670
Unter Manjaro Gnome ist es mit Update von heute früh gefixt.
Tenferenzu
Vice Admiral
- Registriert
- Okt. 2017
- Beiträge
- 6.537
Debian hat mittlerweile auch einen Fix draußen @coffee4free